본문 바로가기

IT·컴퓨터

(54)
Sourceforge 등록 - 효과 있는 웹 스캐너 개발 참여 XSS : Cross site scripting - 현재 악성코드 설치 유형이 각 웹서버의 게시물에 대해 Cross site scripting을 이용하여 악성코드를 방문자에게 설치하는 유형이 매우 증가하고 있고 사용자의 쿠키를 외부로 빼내어가 인증 용도로 사용할 수 있는 문제점들이 있으므로 심화 진단하여 제거하는 것이 필요한 취약성 SQL Injection: 일반적인 SQL Injection이 아닌 URL 인자 단위마다 임의의 SQL command를 입력하여 데이터를 빼내어 가거나 DB 권한을 획득하여 정보를 유출 시킴.. 또한 획득한 DB 권한을 이용하여 웹서버의 소스코드를 직접 변경함. Type Error: 문자를 입력하지 않아야 될 곳에 문자가 입력되는 등의 Vb script error의 경우에도 ..
[컬럼]Mass sql injection, 대응과 현실 2008.9 . p4ssion입니다. 지난 글에서 ( 한참 됐습니다. ^^) Mass sql injection 관련된 내용에 대해서 언급을 드린 적이 있습니다. 그 이후 업데이트를 할려고 생각 하다가 개인적인 사정으로 작성하지 못했습니다. 오늘 생각나서 잠시 써봅니다. http://www.itjungle.com/two/two082708-story05.html http://www.technewsworld.com/story/Mass-SQL-Attack-a-Wake-Up-Call-for-Developers-62783.html?welcome=1209498513&welcome=1210717878 http://www.theregister.co.uk/2008/05/21/china_sql_injection_attack/ http:..
IT리스크의 현실- 글로벌 보안 위협 -2 IT 리스크의 현실 – 2009 글로벌 보안 위협의 변화 2 -zdnet 컬럼 지난 편에서 공격과 방어의 현실에 대해서 살펴 보았다. 각 글로벌 기업들의 피해 현황과 대응 방식의 변화를 통계치를 통해 살펴 보았다. 또한 공격 기술과 방어기술의 차이가 벌어지고 있으며 그 차이는 더 큰 격차를 보이고 있음을 간략하게 살펴 보았다. 두 번째 글인 이번 컬럼에서는 IT 시스템과 서비스가 가지고 있는 실제적인 리스크의 현실에 대해서 통계치와 조사된 자료를 통해 간략하게 알아보고 변화가 어떻게 진행 되고 있는지 알아본다. 컬럼 이전에 필자가 보는 보안과 시대에 대한 관점에 대해 잠시 언급 하도록 한다. 국내의 보안 현실에 대해서 논의 하는 것은 특별한 의미가 없다. 모든 현상은 이어져 있으며 글로벌 연동이 일반적인..
[컬럼]IT관리자들의 10가지 실수- 두번째 10가지 어리석은 실수들-2 - 바다란, zdnet 보안컬럼니스트 전편에는 시스템 및 네트워크 부분에서 빈번하게 발생 되는 케이스들을 살펴 보았다. 10여 년의 기간 동안 일선에서 침해사고를 담당하고 보안구성에 대한 업무를 진행하면서 상당수의 침해사고 발생 이후의 확산에 가장 큰 영향을 끼친 부분으로 보고 있다. 이번 컬럼의 내용은 2005년 이후 현재까지 진행중인 대부분의 침해사고에 해당되는 Application에 관련된 부분이다. 네트워크 관리자가 아닌 IT 관리자라 칭한 이유도 범위를 한정하여 발생 되는 부분이 아니며 전체의 관점에서 바라보아야 할 이슈이다. Application에 관련된 보안 부분은 2000년대 이후 장대하고 중요한 흐름을 보이고 있다. 인터넷의 발달과 생활의 밀접화는 주변의 많은..
[컬럼] IT 관리자들의 10가지 어리석은 실수들-1 IT 관리자들의 10가지 어리석은 실수들-(기본 인프라) -zdnet column Pc world에 실린 내용 이나 의미 있게 살펴 보아야 할 내용들도 존재하고 다른 관점에서 보아야 할 이슈들도 존재한다. 침해사고가 창궐하고 있는 불황의 시기에 주관적인 의견도 도움이 되는 부분을 발췌하여 활용 한다면 서비스의 안정성 유지에 충분한 역할을 할 수 있을 것이다. 노골적인 표현 그대로 어리석은 실수라기 보다는 잘 지켰다면 문제들이 많이 줄었을 것이라는 아쉬움의 표현이라고 받아 들였으면 하는 바램이다. 한국적 IT 서비스에서 일반적으로 발생하는 침해사고에 관한 10가지 정도의 이슈로 참고 하셨으면 한다. 우선은 기본 인프라에 관련된 5가지 정도의 이슈에 대해 정리 한다. 차분하게 기업의 IT 보안 현실과 여러 ..
Inevitable cyber warfare II 2002년에 Critical Alert for cyber terror ( sub: Scada & DCS Security)라는 제목의 기초적인 문서를 발표 한 적이 있습니다. (http://blog.naver.com/p4ssion/50001878886 ) 이때 당시에는 발생 될 수도 있는 문제에 대해서 알려주는 역할을 하기 위해 작성을 한 내용입니다. 이후 오랜기간 동안 관련 분야를 주기적으로 관찰 하였고 주시 하고 있었습니다. 7년이 지난 시점이죠. 2009년 10월쯤에 추가적인 내용의 발표를 고려 하였고 하루 정도 시간을 내어서 만들었습니다. 사이버전 시나리오 공모전에 보낼 용도로 ( 상금 보다는 널리 알리고 싶었습니다. ^^) 급하게 작성을 했는데.. 등수에도 못들었죠. 아무래도 보는 관점이 많이 달..
중국발 사이버 침해 - 조직적, 대규모 뭐 하루 이틀 된 이야기도 아닙니다. 이미 5~6년 전 부터 징후가 있었고 그 이후 타임워프 하듯이 대규모로 공격 인력이 늘고 기법도 고도화 되어 왔습니다. 이젠 대규모적인 대응 없이는 불가능하다고 볼 수 있습니다. 단편적인 대응과 사법기관 공조 만으로는 빙산의 일각도 제거하기 어렵습니다. 체계적이고 근원적인 부분에 대해서 장기적인 처방이 필요한데.. 여유와 인내심을 가지고 정책을 진행하고 방향성을 제시 할 수 있을런지가 가장 중요한 부분입니다. 대책 부분에 대해서는 하두 여러번 언급 했었지만 시행에는 상당 시일이 걸리고 시간이 지난 지금에서도 유효한 대응은 적어 보입니다. 앞으로 어떻게 될런지.. http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=1..
[컬럼] 인터넷 뱅킹 해킹의 이면 인터넷 뱅킹 해킹의 이면 – 바다란 세상 가장 낮은 곳의 또 다른 이름 zdnet 컬럼 1~2년 전 부터 인터넷 뱅킹에 대한 해킹이 간간히 언론의 지면을 장식하고 있다. 과연 인터넷 뱅킹은 안전한가? 라는 질문이 나올법하다. 그러나 정작 중요한 것은 논의가 되지 않는다. 단지 어느 은행의 인터넷 뱅킹이 해킹을 당했다라는 단발성 기사만 활자화 되고 논의가 되고 있다. 인간은 단순하지 않다. 사실도 단순하지 않다. 사건이란 우연히 일어나는 것이 아니라 발생할 환경이 조성이 되면 그제서야 발생이 되는 것이다. 현재의 인터넷 뱅킹에 대한 해킹은 인터넷 환경의 현주소를 의미하는 것과 동일하다. Security라는 관점에서 다시 한번 이야기를 할 필요는 분명하게 있다. 이제 몇 년 전 이야기 했던 이야기를 다시 한..