정보보호 한잔

1. Intro최근 국내외 리눅스 시스템을 대상으로 BPFDoor 악성코드 위협이 확대됨에 따라, 다양한 BPFDoor 악성코드 유형을 확인할 수 있는 점검 가이드를 공개 2. 점검가이드1. BPFDoor 악성코드 감염여부 점검 방법 1.1 악성코드 뮤텍스/락(Mutex/Lock) 파일 점검 1.2 악성코드 자동 실행 파일 점검 1.3 BPF(Berkeley Packet Filter) 점검 (가이드 內 ‘[붙임1] BPF 점검 스크립트’ 활용) 1.4 RAW 소켓 사용 점검 1.5 프로세스 환경변수 점검 (가이드 內 ‘[붙임2] 환경변수 점검 스크립트’ 활용) 1.6 특정 포트 확인 및 네트워크 장비를 이용한 패킷 점검2 BPFDoor 컨트롤러 감염여부 점검 방법 2.1 실행 중인 프로세..

NO구분전자금융기반시설 항목점검 분류비고1(전자금융) 거래 인증[전자금융] 거래 인증수단 검증 오류웹/앱/HTS결제 기능 대상(전자금융 대상)2(전자금융) 거래정보 검증[전자금융] 거래정보 무결성 검증웹/앱/HTS결제 기능 대상(전자금융 대상)3(전자금융) 거래정보 검증[전자금융] 거래정보 재사용 웹/앱/HTS결제 기능 대상(전자금융 대상)4(전자금융) 거래정보 검증[전자금융] 거래시 소유주 확인 여부웹/앱/HTS결제 기능 대상(전자금융 대상)5(전자금융) 거래 인증[전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부웹/앱/HTS결제 기능 대상(전자금융 대상)6(전자금융) 거래 인증[전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부웹/앱/HTS결제 기능 대상(전자금융 대상)7(전자금융) 단말 보안..

1. 개요 사용자 브라우저에 검증되지 않은 외부 입력값을 허용하여 악의적인 스크립트가 실행 가능한 보안약점2. 보안대책 - 문자열 치환 함수 사용: 문자열 치환 함수를 사용하여 & " ' /( ) 등을 & < > " ' / ( )로 치환- 알려진 보안 라이브러리 사용: JSTL 또는 잘 알려진 크로스 사이트 스크립트 방지 라이브러리(Lucy-XSS-Filter, OWASP ESAPI) 사용- 정규식 사용: 입력값에 대해 정규식을 이용하여 정확하게 허용되는 패턴의 데이터만 입력되도록 한다.- XSS 필터 사용: 서버로 들어오는 모든 요청에 대해 XSS 필터를 적용하여 안전한 값만 전달되어 사용되도록 한다.- 출력값 인코딩, XSS필터 적용: 출력값에..

1. 개요시스템 자원 접근경로나 자원제어 명령어에 검증되지 않은 외부 입력값을 허용하여 시스템 자원에 무단 접근 및 악의적인 행위가 가능한 보안약점 - 진단방법(경로조작)파일객체를 사용하는지 확인하고, 파일에 대한 접근이 외부에서 직접 접근하는지 확인한다. 외부 입력 값이 경로 순회 문자열에 대한 제거없이 사용되면 경로의 변경이 가능하게 되어 취약하다.- 진단방법(자원삽입)파일명, 소켓 포트 등과 같이 자원을 사용하는지 확인하고, 자원에 대한 외부 직접 접근 여부를 확인한다.2. 보안대책- 유효성 검사: 외부입력값을 자원의 식별자로 사용하는 경우, 철저히 검증을 수행한 후 사용한다. - 화이트리스트: 사용자별 사용 가능한 자원을 사전에 리스트로 정의하여 사용 범위를 제한한다. - 위험문자 필터: 파일을 ..

1. 개요프로세스가 외부 입력 값을 코드(명령어)로 해석·실행할 수 있고 프로세스에 검증되지 않은 외부 입력 값을 허용한 경우 공격자에 의해 악의적인 코드가 실행 가능한 보안약점 2. 보안대책 - 취약한 함수 사용 지양: 동적코드를 실행할 수 있는 함수를 사용하지 않는다. - 화이트리스트: 실행 가능한 동적코드를 입력 값으로 받지 않도록, 외부 입력 값에 대하여 화이트리스트 방식으로 구현한다.- 유효성 검사: 유효한 문자만 포함하도록 동적 코드에 사용되는 사용자 입력 값을 필터링한다. 3. 코드예제※ 아래 예제들은 KISA의 소프트웨어 개발보안 가이드, SW 보안약점 진단가이드의 예제를 옮겨놓았습니다. [안전하지 않은 코드 - JAVA]//취약예시1public class CodeInjectionContr..

1. 개요 데이터베이스(DB)와 연동된 웹 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안약점 2. 보안대책 - 정적 쿼리 사용: PreparedStatement 객체를 이용하여 컴파일 된 정적 쿼리문(상수)으로 쿼리문의 구조가 외부의 값을 통해 바뀌지 않도록 한다. C#에서는 @, MyBatis에서는 #, JAVA 에서는 ?을 이용하여 파라미터 바인딩을 사용한다.- 유효성 검사: 동적 쿼리를 사용해야 한다면, 입력값에 대하여 쿼리문의 구조를 변경할 수 있는 특수문자 및 쿼리 예약어를 검사(필터링)한 후 쿼리문 생성에 사용한다. - 보안 모듈 사용: 스트러츠(Struts), ..

구분설계 항목보안약점입력 데이터 검증 및 표현(10개)DBMS 조회 및 결과 검증- SQL 삽입XML 조회 및 결과 검증- XML 삽입 - 부적절한 XML 외부개체 참조디렉토리 서비스 조회 및 결과 검증- LDAP 삽입시스템 자원 접근 및 명령어 수행 입력값 검증- 코드 삽입 - 경로 조작 및 자원 삽입 - 서버사이드 요청 위조 - 운영체제 명령어 삽입웹 서비스 요청 및 결과 검증- 크로스사이트 스크립트(XSS)웹 기반 중요 기능 수행 요청 유효성 검증- 크로스사이트 요청 위조(CSRF)HTTP 프로토콜 유효성 검증- HTTP 응답분할 - 신뢰되지 않은 URL주소로 자동접속 연결허용된 범위내 메모리 접근- 메모리 버퍼 오버플로우 - 포맷 스트링 삽입보안기능 입력값 검증- 보안기능 결정에 사용되는 부적절..

1. Intro Yealink IP 전화기 중 특정 버전에서 디렉터리 트레버셜 취약점이 존재합니다. 해당 취약점을 통하여 공격자는 서버의 특정 파일의 내용을 읽어 정보를 습득하거나 서비스거부(DOS) 공격을 일으킬 수 있습니다. 2. Detail 해당 취약점은 Yealink IP 전화기의 연락처 파일 업로드 인터페이스에서 발생되었습니다.//파일 읽어오기https://{IP}/servlet?m=mod_data&p=contacts-preview&q=load&handsetid=7&filename={file}//버전 정보 확인하기https://{IP}/servlet?m=mod_listener&p=login&q=loginForm&jumpto=status 무엇보다 공격 방법이 굉장히 쉬운데, 위와 같이 IP pho..

사유 1. ISMS-P - 2.10.8 패치관리 소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다. 2. PCI-DSS Ver 3.2.1 - 6.2, 6.2a - 모든 시스템 구성 요소 및 소프트웨어는 공급업체가 제공하는 적용 가능한 보안 패치를 설치하여 알려진 취약성으로부터 보호되도록 한다. 중요한 보안 패치는 발표된지 1개월 이내에 설치한다. - 보안 패치 설치와 관련된 정책 및 절차를 검토하여 프로세스가 다음 내용에 대해 정의되어 있는지 확인한다 • 공급업체가 제공하는 적용 가능한 중요 보안 패치는 발표된지 1개월 이내에 설치 • 공급업..

정의 스파이 칩을 USB, 마우스, 키보드, 메인보드와 같은 주변기기에 이식하고, 이식된 스파이 칩이 무선 백도어를 만들어 기밀정보를 유출 또는 시스템 마비, 오작동 시키는 첨단 해킹 기술입니다.이에 대한 대책으로 망 분리 정책을 제시하는 경우가 있는데 이는 내부 자료를 해킹으로부터 보호하기 위하여 업무용 내부망과 외부 인터넷망을 분리, 운영하는 방안으로 무선해킹 발생시 무의미합니다.  피해사례 - 군 내부망 해킹 사건 : https://www.yna.co.kr/view/MYH20161206008400038- 뉴욕타임스 미국 NSA 무선해킹 폭로 사건 : http://www.donga.com/news/article/all/20140116/60196266/1- 정부기관 도청 '무방비' : http://md..