728x90
http://openeg.co.kr/ 보안교육을 듣고.
* 공격자의 패턴
- 관리자에게 악성 파일 배포: 관리적 보안이 필요한 경우
- 웹서버 공격
가. 보안 사고 사례
웹어플리케이션 취약점 이용
: 로그인 하여 다른 고객의 번호를 조회, 방화벽에서 막아주는 반복 실행 기간보다 넓게 반복
→ 생성 & 업데이트 & 삭제 시 권한있는 사용자인지 조회 확인필요
로그인 관리, 암호화, 파일업로드 취약점 이용
: 현대캐피탈 사고, COMMAND 창을 사용할 수있는 환경을 만들고 컴퓨터 내부의 데이터를 뒤짐
DB의 경우 암호화 되어 사용할 수 없었으나 로그파일을 사용함.
→ 중요데이타의 경우 로깅 데이터도 암호화 할 것.OpenSSL heartBleed 취약점
: 오픈 라이브러리 취약점. 변수와 변수의 길이를 파라메터로 요청을 보낼 때 사용함, 이때 변수의 길이를 보내는 길이 보다 길게 주면 heap 영역에 저장된 다른 사용자의 정보도 모두 가져옴
→ JAVA의 경우 보안의 문제점이 발견되면 해당 API 듀플리케이트 됨 참고만
→ 메모리영역에 key 값이 남지 않도록 할 것.
스마트폰 앱의 허술한 보안공약
: 포인트 선물하기 시 문자인증 프로세스 제거. 소액의 포인트를 한 사용자에게 선물하여 고액 결재로 사용
→ 프로세스 설계시 주의SQL인젝션 취약점을 이용한 공격
파일 업로드 취약점을 이용한 공격
정수 오버플로우를 이용한 공격
중요데이터 암호화 부재
파라메터 변조를 이용한 공공아이핀 부정발급
URL 파라미터 조작 개인정보 노출(2016 yes24)
무작위 대입공격 기프트 카드 정보유출(2016 카드사)
사물인터넷 보안 위협
나. 보안 약점 / 취약점
#보안 약점
- 소스코드에 존재하는 잠재적 위험
#보안 취약점
- 보안 약점 중 침해 사고로 연결되는 위험.
- 보안약점은 취약점을 포함한다.
다. DB 활용
# 보안 약점
CWE(Common Weakness Enumeration)
- 미 국토 안보부 관리# 보안 취약점
CVE(Common Vulnerabilities Exposures)
- https://cve.mitre.org/
- "CVE-2014-0001" 보안 솔루션 소개시 사용.- SANS (SysAdmin, Audit, Network and Security)
- CWE/SANS 가장 위험한 소프트웨어 에러 25개
소프트 웨어 오류 정리 목록...구성요소간 안전하지 않은 상호작용(6개), 위험한 자원관리(8개), 허점이 많은 방어(11개) CERT Secure Coding Standard
- 안전 코딩 패턴, 2009년 10월기준 17개 카테고리, 지속적 갱신중.- OWASP (The Open Web Application Security Project)
- OWASP Top 10: 웹 프로그래밍 관련 가장 위험한 10가지 취약점. 3년에 1회 꼴로 발표.. 최근(2017년 )은 4년 걸림.
라. 2015년 상위 웹 취약점 & 약점
2015년 상위 웹 취약점 |
2015년 상위 보안 약점 |
||
2. 정보누출 3. 관리자 페이지 노출 4.불충분한 인가 5. 경로추적 및 파일 다운로드 6. 악성콘텐츠 7. 위치공개 8. 크로스사이트 리퀘스트 변조 9. 데이터 평문 전송 10. SQL 인젝션 |
2. 부적절한 예외 처리 3. 오류메시지를 통한 정보노출 4. 오류상황 대응 부재 5. Null Pointer 역참조 6. SQL 삽입 7. Public 메소드로 반호나된 Private배열 8. 잘못된 세션에 의한 데이터 정보 노출 9. 부적절한 지원 예제 10. Private 배열에 Public 데이터 할당 |
'For Real > Others' 카테고리의 다른 글
| 크리덴셜 (0) | 2018.06.12 |
|---|---|
| [2018]it+ 업무 용어 (0) | 2018.04.30 |
| 유용한 사이트 모음(개발) (0) | 2017.12.13 |
| 유용한 사이트 모음 (일반) (0) | 2017.12.13 |
| [KMU-KISIA 정보보안 아카데미] 시큐어 코딩 관련 용어 정리 (0) | 2017.12.12 |