※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목고정된 인증정보 이용대상권한 기능 대상항목 설명o SMS 등 이용자 인증을 위해 생성되는 값에 대해 인증정보 탈취 방지를 위해 가변적인 데이터 사용 여부를 점검점검 기준- SMS, ARS 등 이용자 인증 시 매번 동일한 인증코드 생성 여부 점검 등점검 방법1. 세션(쿠키) 인증값 유추1) 로그인 진행2) 발급받은 세션 쿠키 값 분석 A) 평문 여부 확인 B) 인코딩(ex. Base64 등) 값, 암호화 값의 복호화 시도3) 타 계정 및 권한으로 위변조 시도4) 위변조한 계정 및 권한으로 동작 확인 2. SMS, ARS 인증값 유추1) 인증 진행2) 발급받은 인증번호 확인 A) 인증번호 발급시 동일한 인증..
※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목[전자금융] 거래 인증수단 검증 오류대상결제 기능 대상 (전자금융 대상)항목 설명전자금융거래에 적용된 거래 인증수단 검증의 적절성 여부를 점검점검 기준 - 잘못된 인증정보(비밀번호, OTP, 보안카드 번호 등) 입력 후 정상 거래 가능 여부 점검 - 폐기된 인증수단(인증서, 보안카드, OTP 등)을 통해 인증 시도 후 정상 거래 가능 여부 점검 - SMS, ARS, 계좌 등의 인증수단 이용 시, 인증 유효시간 제한 여부 점검 - 인증 매체를 통해 전달받은 인증정보를 금융회사에서 정한 시간 이후에 인증 요청 시 정상 처리 가능 여부를 점검점검 방법1. 전자금융거래를 위한 지식/소지 기반 인증 우회 시도1) 패킷..
No구분전자금융 기반시설 항목 구분점검 분류대상1취약한 접근 제어: 권한/인가[전자금융] 거래 인증수단 검증 오류인증/인가/로직 우회결제 기능 대상(전자금융 대상)2부적절한 이용자 인가 여부인증/인가/로직 우회권한 기능 대상3쿠키변조암호화(토큰, 세션)모든 대상4암호화 실패고정된 인증정보 이용암호화(토큰, 세션)권한 기능 대상5서버 인증서 무결성 검증HTTPS 확인(인증서, NMAP)SSL/TLS 적용 대상6취약한 HTTPS 프로토콜 이용HTTPS 확인(인증서, NMAP)SSL/TLS 적용 대상7취약한 HTTPS 암호 알고리즘 이용HTTPS 확인(인증서, NMAP)SSL/TLS 적용 대상8취약한 HTTPS 컴포넌트 사용HTTPS 확인(인증서, NMAP)SSL/TLS 적용 대상9취약한 HTTPS 재협상 허..
No구분전자금융 기반시설 항목 구분점검 분류대상1취약한 접근 제어: 권한/인가[전자금융] 거래 인증수단 검증 오류인증/인가/로직 우회결제 기능 대상(전자금융 대상)2[전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부인증/인가/로직 우회결제 기능 대상(전자금융 대상)3부적절한 이용자 인가 여부인증/인가/로직 우회권한 기능 대상4쿠키변조암호화(토큰, 세션)모든 대상5암호화 실패고정된 인증정보 이용암호화(토큰, 세션)권한 기능 대상6데이터 평문전송암호화(토큰, 세션)모든 대상7서버 인증서 무결성 검증HTTPS 확인(인증서, NMAP)SSL/TLS 적용 대상8취약한 HTTPS 프로토콜 이용HTTPS 확인(인증서, NMAP)SSL/TLS 적용 대상9취약한 HTTPS 암호 알고리즘 이용HTTPS 확인..
오늘의 신규? 취약점은 Apache Flink의 부적절한 접근 제어 취약점 입니다. 2020년도 취약점인데 왜 KISA 보호나라에이제서야 보안공지가 된건지한번 살펴보도록 하겠습니다. 우선 환경부터 살펴보도록 하겠습니다. Apache Flink는 Apache Software Foundation에서 개발한 오픈소스로, 제한되지 않은(스트림) 데이터 세트와 제한된(배치) 데이터 세트에 대한 상태 저장 처리를 위한 오픈 소스 분산 엔진입니다. 삼성 SmartThings, NortonLifeRock 등여러가지 어플리케이션에서 다양하게 사용하고 있습니다. CVE제품/서비스명취약버전양호버전CVE-2020-17519Flink1.11.0, 1.11.1, 1.11.21.11.3 또는 1.12.0 해당 취약점은 CVSS ..
오늘의 신규 취약점은Cacti에서 발생하는Command Injection 취약점입니다. Cacti는 오픈소스로 네트워크 장비의오류 모니터링 및 운영 관리 솔루션입니다. NMS(Network management System) 구축시사용하는 솔루션으로 2001년도 부터 아직까지도 사용하는 오픈소스 입니다. CVE제품/서비스명취약버전양호버전CVE-2024-29895Cacti1.3.x별도 Commit 적용 1.3.x 버전에서 명령어 주입 취약점이 발견되었는데CVSS 점수가 10으로 해당 버전을 사용하고 있다면 빠른 조치를 안내드립니다. 해당 취약점은PHP의 register_argc_argv 옵션이 On 상태일 때,인증되지 않은 사용자가 서버에서 임의의 명령어를 실행할 수 있습니다. ※ register_argc..
오늘의 신규 취약점은Apple 제품의 취약점입니다. Trend Micro의 Zero Day Initiative에 참여하는Manfred Paul(@_manfp) 이 발견한 취약점으로 Apple 생태계를 쓰고 있다면 거의 모든 환경에서 발생하고 있습니다. CVE제품/서비스명취약버전양호버전CVE-2024-27834macOS Monterey 및macOS VenturaSafari 17.5미만Safari 17.5이상iPhone XS 이상, iPad Pro 12.9인치 2세대 이상, iPad Pro 10.5인치, iPad Pro 11인치 1세대 이상, iPad Air 3세대 이상, iPad 6세대 이상, iPad mini 5세대 이상iOS 및 iPadOS 17.5 미만iOS 및 iPadOS 17.5 이상macOS ..
오늘의 신규 취약점은클라우드 환경에서 많이 사용하는Fluent Bit의 Linguistic Lumberjack 취약점 안내드리겠습니다. 제가 온프레미스 환경을주로 다루다 보니 클라우드 환경을 자주 접하지는 못했는데요서비스부터 취약점까지 무슨 소리인가 싶은건 오랜만이네요 우선 서비스 부터 살펴보겠습니다. 플루언트비트(Fluent Bit)는 오픈소스 형태의 유틸로로깅기능을 지원하는데, 많이들 아시는 ELK에서 LogStatch 대신에 플루언트비트를 사용하여EFK라고 합니다. 해당 솔루션의 장점은 대표적인 로깅 유틸(LogStash, fluentd, fluentbit) 중에 10배 이상 가벼운 장점을 가지고 있어쿠버네티스 구성시, 많이 사용됩니다. 그림과 같은 파이프라인으로 Log를특정 목적지로 보내주는 ..
오늘의 신규 취약점은Google Chrome에서 발생한 2개 취약점 안내드리겠습니다. 크롬은 국가별로 조금 다르긴 하지만웹 브라우저 점유율 1위의 브라우저 입니다. CVE제품/서비스명OS취약버전양호버전CVE-2024-4761Chrome(데스크톱 용)Windows124.0.6367.207/.208 미만124.0.6367.207/.208 이상MacLinux124.0.6367.207 미만124.0.6367.207 이상 CVE-2024-4947Windows125.0.6422.60/.61 미만 125.0.6422.60/.61 이상 MacLinux125.0.6422.60 미만 125.0.6422.60 이상 두 취약점 모두 Chrome 의 V8 엔진에서발생하는 취약점입니다.V8 엔진은 오픈소스 자바 스크립트 엔진..
오늘의 신규 취약점은 CVE는 없지만국내 솔루션들의 최근 신규 취약점을안내드리겠습니다.1. sir 소프트 그누보드의 SQL Injection 및 파일 업로드 취약점그누보드는 오픈소스 오픈형 게시판 프로그랩입니다.5와 6의 가장 큰 차이는5까지는 PHP 기반이었으나6부터는 Python으로 변경된 점이 있습니다.제품/서비스명취약버전양호버전그누보드5.5.16 미만5.5.16 이상 양호버전 업데이트 이전에 점검이 필요합니다.서버 내 아래 php 파일 및 기타 악성파일 존재 여부 점검·삭제가 필요합니다.악성파일명악성파일 설치 경로auto_n.php 1. /gnuboard4/adm/img/[ttttt, pill, poll 등 임의문자]/auto_n.php 2. /adm/mail/img/[ttttt, pill, po..
- Total
- Today
- Yesterday
- 접근제어취약점
- 무선해킹탐지시스템
- neural compressor
- 항목가이드
- 전자금융기반시설
- 취약점분석평가
- 점검가이드
- 구현기준
- sw보안약점
- 언젠가공개하려나
- RCE
- linguisticlumberjack
- 디렉터리트레버셜
- 점검항목분류
- 정보보안기획
- 취약점
- 프리미엄베개
- 링귀스틱럼버잭
- 전자금융취약점분석평가
- AWS
- 금취분평
- 전자금융기반시설취약점분석평가
- 크로스 사이트 스크립트
- 사용자권한상승취약점
- 테크노젤
- awssap
- cve
- SAP
- 명령어주입
- ip전화기
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |