정보보호 한잔

1. 개요 사용자 브라우저에 검증되지 않은 외부 입력값을 허용하여 악의적인 스크립트가 실행 가능한 보안약점2. 보안대책 - 문자열 치환 함수 사용: 문자열 치환 함수를 사용하여 & " ' /( ) 등을 & < > " ' / ( )로 치환- 알려진 보안 라이브러리 사용: JSTL 또는 잘 알려진 크로스 사이트 스크립트 방지 라이브러리(Lucy-XSS-Filter, OWASP ESAPI) 사용- 정규식 사용: 입력값에 대해 정규식을 이용하여 정확하게 허용되는 패턴의 데이터만 입력되도록 한다.- XSS 필터 사용: 서버로 들어오는 모든 요청에 대해 XSS 필터를 적용하여 안전한 값만 전달되어 사용되도록 한다.- 출력값 인코딩, XSS필터 적용: 출력값에..

1. 개요시스템 자원 접근경로나 자원제어 명령어에 검증되지 않은 외부 입력값을 허용하여 시스템 자원에 무단 접근 및 악의적인 행위가 가능한 보안약점 - 진단방법(경로조작)파일객체를 사용하는지 확인하고, 파일에 대한 접근이 외부에서 직접 접근하는지 확인한다. 외부 입력 값이 경로 순회 문자열에 대한 제거없이 사용되면 경로의 변경이 가능하게 되어 취약하다.- 진단방법(자원삽입)파일명, 소켓 포트 등과 같이 자원을 사용하는지 확인하고, 자원에 대한 외부 직접 접근 여부를 확인한다.2. 보안대책- 유효성 검사: 외부입력값을 자원의 식별자로 사용하는 경우, 철저히 검증을 수행한 후 사용한다. - 화이트리스트: 사용자별 사용 가능한 자원을 사전에 리스트로 정의하여 사용 범위를 제한한다. - 위험문자 필터: 파일을 ..

1. 개요프로세스가 외부 입력 값을 코드(명령어)로 해석·실행할 수 있고 프로세스에 검증되지 않은 외부 입력 값을 허용한 경우 공격자에 의해 악의적인 코드가 실행 가능한 보안약점 2. 보안대책 - 취약한 함수 사용 지양: 동적코드를 실행할 수 있는 함수를 사용하지 않는다. - 화이트리스트: 실행 가능한 동적코드를 입력 값으로 받지 않도록, 외부 입력 값에 대하여 화이트리스트 방식으로 구현한다.- 유효성 검사: 유효한 문자만 포함하도록 동적 코드에 사용되는 사용자 입력 값을 필터링한다. 3. 코드예제※ 아래 예제들은 KISA의 소프트웨어 개발보안 가이드, SW 보안약점 진단가이드의 예제를 옮겨놓았습니다. [안전하지 않은 코드 - JAVA]//취약예시1public class CodeInjectionContr..

1. 개요 데이터베이스(DB)와 연동된 웹 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안약점 2. 보안대책 - 정적 쿼리 사용: PreparedStatement 객체를 이용하여 컴파일 된 정적 쿼리문(상수)으로 쿼리문의 구조가 외부의 값을 통해 바뀌지 않도록 한다. C#에서는 @, MyBatis에서는 #, JAVA 에서는 ?을 이용하여 파라미터 바인딩을 사용한다.- 유효성 검사: 동적 쿼리를 사용해야 한다면, 입력값에 대하여 쿼리문의 구조를 변경할 수 있는 특수문자 및 쿼리 예약어를 검사(필터링)한 후 쿼리문 생성에 사용한다. - 보안 모듈 사용: 스트러츠(Struts), ..

구분설계 항목보안약점입력 데이터 검증 및 표현(10개)DBMS 조회 및 결과 검증- SQL 삽입XML 조회 및 결과 검증- XML 삽입 - 부적절한 XML 외부개체 참조디렉토리 서비스 조회 및 결과 검증- LDAP 삽입시스템 자원 접근 및 명령어 수행 입력값 검증- 코드 삽입 - 경로 조작 및 자원 삽입 - 서버사이드 요청 위조 - 운영체제 명령어 삽입웹 서비스 요청 및 결과 검증- 크로스사이트 스크립트(XSS)웹 기반 중요 기능 수행 요청 유효성 검증- 크로스사이트 요청 위조(CSRF)HTTP 프로토콜 유효성 검증- HTTP 응답분할 - 신뢰되지 않은 URL주소로 자동접속 연결허용된 범위내 메모리 접근- 메모리 버퍼 오버플로우 - 포맷 스트링 삽입보안기능 입력값 검증- 보안기능 결정에 사용되는 부적절..

1. Intro Yealink IP 전화기 중 특정 버전에서 디렉터리 트레버셜 취약점이 존재합니다. 해당 취약점을 통하여 공격자는 서버의 특정 파일의 내용을 읽어 정보를 습득하거나 서비스거부(DOS) 공격을 일으킬 수 있습니다. 2. Detail 해당 취약점은 Yealink IP 전화기의 연락처 파일 업로드 인터페이스에서 발생되었습니다.//파일 읽어오기https://{IP}/servlet?m=mod_data&p=contacts-preview&q=load&handsetid=7&filename={file}//버전 정보 확인하기https://{IP}/servlet?m=mod_listener&p=login&q=loginForm&jumpto=status 무엇보다 공격 방법이 굉장히 쉬운데, 위와 같이 IP pho..

사유 1. ISMS-P - 2.10.8 패치관리 소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다. 2. PCI-DSS Ver 3.2.1 - 6.2, 6.2a - 모든 시스템 구성 요소 및 소프트웨어는 공급업체가 제공하는 적용 가능한 보안 패치를 설치하여 알려진 취약성으로부터 보호되도록 한다. 중요한 보안 패치는 발표된지 1개월 이내에 설치한다. - 보안 패치 설치와 관련된 정책 및 절차를 검토하여 프로세스가 다음 내용에 대해 정의되어 있는지 확인한다 • 공급업체가 제공하는 적용 가능한 중요 보안 패치는 발표된지 1개월 이내에 설치 • 공급업..

정의 스파이 칩을 USB, 마우스, 키보드, 메인보드와 같은 주변기기에 이식하고, 이식된 스파이 칩이 무선 백도어를 만들어 기밀정보를 유출 또는 시스템 마비, 오작동 시키는 첨단 해킹 기술입니다.이에 대한 대책으로 망 분리 정책을 제시하는 경우가 있는데 이는 내부 자료를 해킹으로부터 보호하기 위하여 업무용 내부망과 외부 인터넷망을 분리, 운영하는 방안으로 무선해킹 발생시 무의미합니다.  피해사례 - 군 내부망 해킹 사건 : https://www.yna.co.kr/view/MYH20161206008400038- 뉴욕타임스 미국 NSA 무선해킹 폭로 사건 : http://www.donga.com/news/article/all/20140116/60196266/1- 정부기관 도청 '무방비' : http://md..

정의 크립토재킹의 공격법 중 하나로 피해자 서버의 대역폭을 이용하여 암호화폐를 채굴하는 공격 공격 단계 1. 온라인에 노출된 취약한 SSH 서버를 이용하여 피해자의 네트워크에 접근 (SSH 딕셔너리 공격) 2. 악성 스크립트를 이용하여 피해자 서버를 P2P 프록시 네트워크(Peer2Proxy, Honeygain 등)에 가입시키고 네트워크 노드로 설정 3. 공격자는 피해자 서버의 대역폭을 이용하여 암호화페 채굴, 명령어 실행과 같은 악성 행위를 수행 탐지가 어려운 이유 - 해킹한 서버의 사용하지 않는 대역폭만 사용하고 전반적인 안정성이나 사용성에는 영향을 주지 않기 때문에 탐지가 어려움 - 악성 트래픽이 최종 목적지에 도달하기 전에 여러 피어 노드를 통해 라우팅 되고 있으므로 추적이 힘듬 방어 방법 - 해..

정의 및 목적(NICE 평가정보 기준) 기업의 부도 가능성을 평가하여 기업 신용위험의 상대적인 수준을 서열화 한 뒤, 위험 수준이 유사한 기업들을 동일한 등급으로 계량화한 지표입니다.금융기관에서는 내부 신용평가시스템을 통해 차주의 부도 위험을 평가한 ‘차주 등급’과 개별 여신에 대한 손실위험과 관련하여 특정 거래 요인을 평가하는 ‘여신 등급’의 이원화된 체계로 운영하고 있습니다.재무건전성 평가에서 전달받는 기업 신용평가는 개별 기업 고유의 신용위험을 평가한 ‘차주 등급’을 의미합니다. 기업 신용등급은 금융기관 등에서 기업의 신용위험을 바탕으로 의사결정이 필요한 경우(신용거래를 설정하거나 유지하고자 할 때), 참고지표로 활용 가능합니다. 기업 신용등급 체계 및 정의신용등급등급 정의AAA상거래를 위한 신용능..