ARTIFEX ;)

이어서 말을 옮기자면, 일단 쓰기에도 캐쉬가 적용되는 것은 맞기 때문에, 단순한 쓰기만으로는 캐쉬가 탈락되지 않는다. 하지만 Prime 공격이 기존 공격과 다른 점은 Prime + Probe를 사용한다는 것 외에 하나가 더 있는데, 그건 공격자와 공격대상이 다른 코어에 위치해야 한다는 점이다. 즉, 같은 코어에서 공격자와 공격대상 프로세스가 작동하고 있다면 이 방법은 통하지 않는다. 또한, 공격 기법을 설명하면서 ‘캐시’라고 대강 설명을 하였지만, 정확하게 말하면 각 코어에서 독립적으로 사용하는 L1, L2 캐시이며, 모든 코어가 공유하는 L3 캐시는 해당 사항이 없다. 참고로 기존 공격 방식에서는 어떤 캐시든 상관이 존재하기만 하면 데이터 유출이 가능하다. 스카이레이크의 캐시구조에서도 마찬가지로 L3 ..

초창기 CPU의 구조는 매우 단순하게 지금 당장 실행해야 하는 명령이 저장된 메모리 주소를 갖는 레지스터(PC : Program Counter)가 있었고, CPU는 Address BUS를 통해 해당 메모리의 내용을 순차적으로 읽어 실행하는 구조였다. 모든 명령이 완료되기 전까지는 아무 것도 할 수 없이 대기해야 했다. 그런데 실제 명령어 실행은 하나의 분해할 수 없는 단위 작업이 아니라 메모리에서 읽기, 해석, 실행, 결과 쓰기 등의 작은 단위 작업으로 나눌 수 있기에 이런 작업을 분담하는 유닛을 따로 두어 전적으로 수행하는 구조로 바꾸면 훨씬 효율적이 될 수 있다. 이러한 구조를 파이프라인(Pipeline)이라고 하며, 현재 CPU는 모두 이러한 구조를 가지고 있다. Fetch → Decode → Ex..

robots.txt 간단하게 말하자면 웹 크롤러들이 접근하지 못 하도록 제한하는 규약. 물론 프로토콜이라고 하기엔 강제성을 띄진 않기 때문에(robots.txt가 있어도 크롤러가 무시하도록 개발되었다면 상관 안합니다.) 어렵고, 그냥 서로서로 지키자 정도의 규칙정도? 보통 접근하지 말아야할 경로가 들어가게 된다. 일반 웹 사이트들은 검색 엔진에 최대한 노출이 되는 것이 목표라 중요하지 않을 것 같지만, 불필요한 페이지들은 크롤링 제한을 해주어 양질의 데이터가 검색 서비스에 노출되도록 하는게 상위 노출을 위해 좋은 방법이기 때문에 robots.txt는 많은 사이트들이 적용하고 있는 부분. “robots.txt 에서 User-Agent가 명시되지 않으면 모든 UA 차단인가?” 결론부터 말을 하자면 아니다. ..

XSS (Cross Site Scripting) : - 공격자에 의해 작성된 스크립트가 다른 사용자에게 전달되는 기법 - 다른 사용자의 웹 브라우저 내에서 적절한 검증 없이 실행되기 때문에 사용자의 세션을 탈취하거나, 웹 사이트를 변조하거나 혹은 악의적인 사이트로 사용자를 이동시킬 수 있다. # 공격 유형 1. Stored XSS : 가장 일반적인 유형. 단순한 게시판 or 자료실과 같이 사용자가 글을 저장할 수 있는 부분에 정상적인 평문이 아닌 스크립트 코드를 입력하는 기법 2. Reflected XSS : 공격 스크립트가 포함된 공격 URL을 사용자가 클릭할 때 악성 스크립트가 서버 사이트에 의해 HTML 문서로 반사되어 웹 브라우저에서 실행되어 서버에 흔적을 남기지 않고 공격을 수행할 수 있다. #..

# OWASP TOP 10