보안 (208) 썸네일형 리스트형 Web 2.0 시대의 위험요소와 대책 4.12일의 ICAT 2007 워크샵에서 'Web 2.0 Security'라는 article로 발표를 하게 되었습니다. 아래의 내용은 그 발표자료의 골격을 구성하는 내용입니다. 발표 이후 발표자료를 올리도록 하겠습니다. 지금의 Web 2.0의 열풍과 변화에는 간과되고 있는 부분이 너무 많다는 것이 개인 소견입니다. 최근 UCC라 불리는 저작물에 대해서 여러 가지 문제가 발생 하고 있고 사용자 친화 환경의 변화에 따라 많은 위험요소들이 도출 되고 있습니다. 한번쯤 위험요소를 실례로 보고 대책과 대안은 무엇이 있는지 그리고 방향은 어떤 방향으로 가는 것이 맞는 지에 대해서 의견을 피력 하였습니다. 관련 내용 참고 하시면 될 것 같습니다. UCC의 정의부터 다시 .. Vista와 ActiveX 그리고 보안 (2) 안녕하세요. 바다란입니다. 어제 못다한 이야기들을 연이어 써보도록 하겠습니다. 먼저 오늘자 기사를 보다보니 트로이 목마 증가라는 기사가 나오고 있습니다. 한번 읽어 보시면 좋을 것 같습니다. http://news.naver.com/news/read.php?mode=LSS2D&office_id=029&article_id=0000161964§ion_id=105§ion_id2=283&menu_id=105 * 인터넷 뱅킹의 공인인증서 적용 부분에 대해서는 타 OS로도 확장이 되어야 한다는 점에 동감합니다. 그러나 현재 적용된 보호를 위한 ActiveX 프로그램에 대해서는 일반적인 ActiveX를 통한 폐해의 관점에서 보기는 어렵다고 생각합니다. 자유이용에 대한 권리와 현재 포스트에 기술하고 있는 .. Vista 와 ActiveX 그리고 보안 - (1) * 본 포스트는 왜 그렇게 밖에 할 수 없었는가에 대해 생각해본 내용입니다. 안녕하세요. 바다란입니다. ActiveX에 대한 논란이 가열 되고 있습니다. 그러나 표준을 지켜야 한다..그리고 기술종속이다 라는 측면에서의 문제점 부각만 되고 있는 것 같습니다. slashdot을 비롯한 해외 블로그 포스팅들이 MS에만 집중화된 환경에 대해서 조롱하는 뉘앙스가 많이 보이고 있는데 조금 다른 시각에서 보도록 하겠습니다. [ 지난번 포스트에서 약속(?)한 ActiveX에 대한 글입니다.] 결론을 먼저 말씀 드리면 목적에 맞는 활용이 가장 중요한 부분이며 그러한 활용을 대한민국은 가장 효율적으로 활용 했다고 할 수 있습니다. Vista에서의 ActiveX가 왜 문제가 되는가 하는 부분은 보안적인 이슈가 가장 크다고 .. Top 25 프로그래밍 에러 http://cwe.mitre.org/top25/index.html 여기를 참고 하시기 바랍니다. 2009년 한해에 발견된 프로그래밍 실수와 문제점들에 대해서 정리된 내용입니다. Failure to Preserve Web Page Structure ('Cross-site Scripting') Improper Sanitization of Special Elements used in an SQL Command ('SQL Injection') Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') Cross-Site Request Forgery (CSRF) Improper Access Control (Authorization) Relian.. Threat of china v2 [SQL Injection ,Attack method] 안녕하세요. 바다란입니다. -본문서는 2006년 9월에 작성한 내용입니다. 지난해에 중국발 해킹 대응 워크샵에서 발표한 자료입니다. 그때 당시에는 문서 공유가 많이 될 줄 알았는데 생각 보다 안되네요. 관련 내용중에서 중국발 해킹 내용 부분만 발췌하여 PDF로 컨버젼한 내용입니다. 지금도 여전히 유효한 부분들이여서 부분적으로 참고 하시면 될 것 같습니다. 본 블로그에도 올려 놓은 http://blog.naver.com/p4ssion/40015866029 게시물에 게시한 내용과 거의 동일합니다. 사실 지난해에 이런 내용들을 발표하고 난뒤에도 워크샵에만 발표를 하고 할 일을 다 했다는 생각을 가지곤 했습니다. 좀 더 적극적으로 하지 않으면 향후에도 여러 위협들이 계속 될 것으로 생각 되어 마인드를 바꾸기로 .. Threat of China II - 긴급 경고 안녕하세요. 바다란입니다. 금년 5월 부터 유명 사이트에 대한 해킹들이 연이어져 왔습니다. 이 문제의 근본은 여러번 언급 하였지만 Validation Check가 되지 않은 불안전한 프로그래밍으로 인해 발생합니다. 즉 DB서버와 Web Server와는 서로 직접적인 연결이 되어 있습니다. ASP , ASPX , PHP , JSP 등등을 이용하여 DB와 직접 연결하는 구조입니다. 이 부분에서 Validation 체크가 안된다는 것은 DB에 쿼리를 실행하도록 웹서버상의 언어에서 인자를 입력할때 이 인자의 유효성에 대한 체크가 전혀 되지 않아서 문제가 됩니다. ' 문자나 And 문자를 웹 URL의 인자 각각의 값에 덧 붙여 넣었을 경우 500 Error가 발생하거나 Unclosed Quotation Mark와.. Threat of china 공격 분석 및 대책 2002년 8월 초에 작성한 내용입니다. 2006년인 지금도 중국으로 부터의 위협은 대단히 심각한 상황이지만 그 시작은 2002년 부터라고 보는 것이 정답일껍니다. 이때 처음으로 중국 사이트들 돌아다니면서 현황 파악해보길 향후 심각한 위협이 될 것이라고 판단 했었는데.. 문서의 근간은 침해사고를 당한 서버에 올려진 공격툴등을 분석한게 기본 모체인데.. 사고 분석을 하다보니 종합선물세트처럼 되어 있더군요. 이런 문서를 만들면서 나름대로 공부가 많이 되었던 것 같습니다. 가르쳐 주는 사람이 없어도.. 스스로가 배우는 것이 공부이고 배움이라고 생각 되네요. 가르침이 없어도 좋다. 내가 가르침이 된다. 뭐 이런 궤변인가?.. 아무튼 스스로가 배우고자 하고 덤벼들어야만 무언가를 할 수 있는 것이 아닐런지요. 이때.. SQL injection 공격 변화 & 중국발 해킹 요약 * 2010년 4월중에 이전 블로그의 글을 완전이전 하면서 링크 부분들을 손 본 내용입니다. 지금의 현실도 여전히 계속 됩니다. 해결 되지 않은 문제들입니다만 이전의 링크와 게시된 시간을 알고 싶으신 분은 blog.naver.com/p4ssion 으로 방문 하시면 됩니다. 앞으로의 모든 갱신은 본 사이트에서만 이루어 집니다. 감사합니다. 아래의 글에서 2007년 이후 부터 현재까지의 내용은 지금 이 시간에도 동일하게 적용 됩니다. 범위만 국내뿐 아닌 전 세계적으로 확장 되었을 뿐입니다. 이 점을 참고 하시면 될 것 같습니다. 2008.11.7 p4ssion. 한국은 바로미터다. 중국발 해킹의 전초 단계로서 향후의 전 세계로 확대되는 공격 양상을 짚어 볼 수 있는 중요한 척도점이 되어 있다. 그 시작은 2.. 이전 1 ··· 4 5 6 7 8 9 10 ··· 26 다음