Security Indicator/Insight (138) 썸네일형 리스트형 보안관련 기사 분석 (1) - 미증권사 해킹 안녕하세요. 바다란입니다.. 간단하지만.. 아주 쉽게 오해를 살 수 있는 보안 및 해킹 관련 기사들에 대해 좀 더 알고 싶지 않으신가요? 무작정 겁만 집어먹게 하는 [ 뭐든지 다 한다더라...카는 ] 카더라 기사에 대해 좀 더 알고 싶지 않으세요? 과연 우리 주위의 위험은 얼마나 되는지 또 어떤 상황에 노출 되어 있는지 궁금하지 않으십니까? 아마..궁금하지 않을 수 있습니다. 그러나 자신과 관련이 된다고 하면 모든 이가 눈빛부터 달라집니다. 짧은 지식이나마 [ 뛰어나신 분들이 많아 이런 의견 올리기도 부담스럽습니다만... ^^] 앞으로 의미 있는 기사가 나올 경우 시리즈로 계속 달아 보도록 하겠습니다. 먼저 1순위로 잡힌 최근 기사는 아래와 같습니다. http://news.mk.co.kr/newsRead.. IT보안의 현재 위험과 대응에 대한 예상 현재의 취약성 및 위협 동향과 향후의 위협과 대응 최근 동향을 보면 다음과 같이 요약이 가능합니다. * 클라이언트 단위의 위험 증가 ( 개인 PC 에 대한 중점적인 공격 ) 해외에서는 피싱등을 이용한 공격이 증가하고 있고 국내에는 직접적인 클라이언트 PC 공격 및 취약성을 이용한 악성코드 설치가 주된 유형입니다. * 일반 Application에 대한 공격 증가 버그트랙이나 기타 메일링을 보아도 운영체제 등에 대한 취약성 보다는 운영체제 기반하에서 영리 목적이나 운영을 목적으로 코딩된 솔루션에 대한 취약성이 집중되고 있습니다.) * 보다 더 집중화된 Bot의 공격 일전에 Bot 관련된 언급을 하면서 Monster Bot 이라는 용어를 언급한 적이 있습니다. 취약성이 나올때 마다 공격 기능이 하나씩 더 추가.. Web 2.0의 위험요소와 대비 문서 안녕하세요. 바다란입니다. 본 문서는 올해 상반기에 여러 컨퍼런스에서 발표한 자료입니다. 이미 공개적으로 문서화 되어서 배포가 된 내용인데 블로그에 올리는 것을 깜빡 했습니다. 제목은 Trustworthy web service for web 2.0 입니다. Web 2.0 서비스에서의 신뢰할만한 웹 서비스에 대해 정리한 내용입니다. 전체 내용은 다음과 같습니다. Web 2.0의 확산에 따른 UCC의 어뷰징 유형을 보이며 어떤 문제들이 있을 수 있는지를 짚어 봅니다. 더불어 Web service Application에 대한 Attack들을 보이며 근래에도 계속 문제가 되고 있는 URL 인자들의 필터링 관련된 문제도 다루고 있습니다. 문제들이 있다면 해결책을 제시하는 것은 당연합니다. 문제들을 해결 하기 위해.. Web 2.0 시대의 위험요소와 대책 4.12일의 ICAT 2007 워크샵에서 'Web 2.0 Security'라는 article로 발표를 하게 되었습니다. 아래의 내용은 그 발표자료의 골격을 구성하는 내용입니다. 발표 이후 발표자료를 올리도록 하겠습니다. 지금의 Web 2.0의 열풍과 변화에는 간과되고 있는 부분이 너무 많다는 것이 개인 소견입니다. 최근 UCC라 불리는 저작물에 대해서 여러 가지 문제가 발생 하고 있고 사용자 친화 환경의 변화에 따라 많은 위험요소들이 도출 되고 있습니다. 한번쯤 위험요소를 실례로 보고 대책과 대안은 무엇이 있는지 그리고 방향은 어떤 방향으로 가는 것이 맞는 지에 대해서 의견을 피력 하였습니다. 관련 내용 참고 하시면 될 것 같습니다. UCC의 정의부터 다시 .. Vista와 ActiveX 그리고 보안 (2) 안녕하세요. 바다란입니다. 어제 못다한 이야기들을 연이어 써보도록 하겠습니다. 먼저 오늘자 기사를 보다보니 트로이 목마 증가라는 기사가 나오고 있습니다. 한번 읽어 보시면 좋을 것 같습니다. http://news.naver.com/news/read.php?mode=LSS2D&office_id=029&article_id=0000161964§ion_id=105§ion_id2=283&menu_id=105 * 인터넷 뱅킹의 공인인증서 적용 부분에 대해서는 타 OS로도 확장이 되어야 한다는 점에 동감합니다. 그러나 현재 적용된 보호를 위한 ActiveX 프로그램에 대해서는 일반적인 ActiveX를 통한 폐해의 관점에서 보기는 어렵다고 생각합니다. 자유이용에 대한 권리와 현재 포스트에 기술하고 있는 .. Vista 와 ActiveX 그리고 보안 - (1) * 본 포스트는 왜 그렇게 밖에 할 수 없었는가에 대해 생각해본 내용입니다. 안녕하세요. 바다란입니다. ActiveX에 대한 논란이 가열 되고 있습니다. 그러나 표준을 지켜야 한다..그리고 기술종속이다 라는 측면에서의 문제점 부각만 되고 있는 것 같습니다. slashdot을 비롯한 해외 블로그 포스팅들이 MS에만 집중화된 환경에 대해서 조롱하는 뉘앙스가 많이 보이고 있는데 조금 다른 시각에서 보도록 하겠습니다. [ 지난번 포스트에서 약속(?)한 ActiveX에 대한 글입니다.] 결론을 먼저 말씀 드리면 목적에 맞는 활용이 가장 중요한 부분이며 그러한 활용을 대한민국은 가장 효율적으로 활용 했다고 할 수 있습니다. Vista에서의 ActiveX가 왜 문제가 되는가 하는 부분은 보안적인 이슈가 가장 크다고 .. Threat of china v2 [SQL Injection ,Attack method] 안녕하세요. 바다란입니다. -본문서는 2006년 9월에 작성한 내용입니다. 지난해에 중국발 해킹 대응 워크샵에서 발표한 자료입니다. 그때 당시에는 문서 공유가 많이 될 줄 알았는데 생각 보다 안되네요. 관련 내용중에서 중국발 해킹 내용 부분만 발췌하여 PDF로 컨버젼한 내용입니다. 지금도 여전히 유효한 부분들이여서 부분적으로 참고 하시면 될 것 같습니다. 본 블로그에도 올려 놓은 http://blog.naver.com/p4ssion/40015866029 게시물에 게시한 내용과 거의 동일합니다. 사실 지난해에 이런 내용들을 발표하고 난뒤에도 워크샵에만 발표를 하고 할 일을 다 했다는 생각을 가지곤 했습니다. 좀 더 적극적으로 하지 않으면 향후에도 여러 위협들이 계속 될 것으로 생각 되어 마인드를 바꾸기로 .. Threat of China II - 긴급 경고 안녕하세요. 바다란입니다. 금년 5월 부터 유명 사이트에 대한 해킹들이 연이어져 왔습니다. 이 문제의 근본은 여러번 언급 하였지만 Validation Check가 되지 않은 불안전한 프로그래밍으로 인해 발생합니다. 즉 DB서버와 Web Server와는 서로 직접적인 연결이 되어 있습니다. ASP , ASPX , PHP , JSP 등등을 이용하여 DB와 직접 연결하는 구조입니다. 이 부분에서 Validation 체크가 안된다는 것은 DB에 쿼리를 실행하도록 웹서버상의 언어에서 인자를 입력할때 이 인자의 유효성에 대한 체크가 전혀 되지 않아서 문제가 됩니다. ' 문자나 And 문자를 웹 URL의 인자 각각의 값에 덧 붙여 넣었을 경우 500 Error가 발생하거나 Unclosed Quotation Mark와.. 이전 1 ··· 8 9 10 11 12 13 14 ··· 18 다음