목록보안 (7)
MACE's life blog
개인정보 암호화 조치 안내서(가이드)가 2017년 개정되었다. 암호화 적용 기준은 시스템 구축시 꼭 검토할 필요가 있다. 비밀번호를 취급하는 회원제 서비스의 경우, 비밀번호 암호화(일방향/해시)는 필수/의무일 뿐만 아니라,ID/PW 등 로그인 정보에 대한 송수신 구간도 적절한 암호화 조치를 적용해야 한다. 나머지는 수집하는 개인정보의 항목에 따라 상이하다. ※ 민간/공공모두 공통사항임. 암호화 적용 기준(요약)구분 암호화기준 정보통신망 보조저장매체를 통한 송신시 비밀번호, 바이오정보, 고유식별번호 암호화 송신 개인정보처리 시스템에 저장시 비밀번호 일방향(해시함수) 암호화 저장 바이오정보 암호화 저장 고유식별번호 주민등록번호 암호화 저장 ※2017.12.31까지 암호화 저장: 100만명 이상 정보주체 ※2..
CONCERT FOREST 2017 행사 중 KISA 발표 세션이 있었는데, 2016년 주요 보안/개인정보 사고사례를 다루는 내용에서 코드사인 인증서가 탈취되어 악성코드 배포에 악용된 사례가 발표되었다. 좀더 내용을 알고 싶어 관련 자료를 조사했다. H사는 그룹웨어 서비스를 공급하고 있는 업체 중 하나이다. 점유율도 상당한 것으로 알고 있는데, 보안상 취약점이 발생한 것으로 보인다. 아래 사과문에 있는 것과 마찬가지로 코드사인은 기업에서 제작한 SW 프로그램 배포 시, 해당 기업에서 제작/배포한 것임을 증명하는 일종의 전자서명(디지털 도장)인데, 이 코드사인이 탈취되어 악성코드에 사용된 것이다. 물론 저 기업도 피해자라고 볼 수도 있겠지만, 일단 해킹이 되고나면 숙주가 되어버리기 때문에 더 큰 피해가 야..
XSS는 2000년대부터 계속 이슈가 되는 취약점으로, 관리자가 아닌 제3의 사용자가 악성 스크립트를 사이트에 탑재할 수 있다. 무엇보다 사이트가 본래의 목적에 벗어나 악성코드(스크립트)의 숙주가 될 수 있으므로, 웹을 포함한 소프트웨어 개발시 항상 XSS(크로스 사이트 스크립팅, cross-site scripting)를 체크해야 한다. 그리고 기존에는 OWASP ZAP 등을 활용하였으나, OWASP Xenotix XSS Exploit Framework라는 도구를 알게되어 소개한다. 이 툴은 XSS에 특화된 다양한 기능을 제공하며, GET/POST 방식을 모두 체크할 수 있다. 당연히 만능은 아니겠지만, 짧은 개발(구현)기간 안에서 최대한의 취약점을 배제할 수 있도록 할때 유용할 것이다. 현재 페이로드는..
OWASP Top 10 모음.
취약점과 관련하여 OWASP를 보다가 Zed Attack Proxy Project를 확인했다. ZAP.인터페이스가 복잡하긴 하지만 공개용 웹취약점 점검툴로는 손색이 없다고 생각된다. 특히 Injection을 위한 Fuzz 기능은 매우 유용하게 사용할 수 있을 듯! The Zed Attack Proxy (ZAP) is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications.It is designed to be used by people with a wide range of security experience and as such is ideal for developers and func..
문서 버전: 1.0.2 날짜: 2011년 6월 29일 프로젝트 코디네이터: Bob Martin (MITRE), Mason Brown (SANS), Alan Paller (SANS), Dennis Kirby (SANS) 문서 편집자: Steve Christey (MITRE) 문서 번역자: SANS 코리아(sans@sans.or.kr) http://www.itlkorea.kr [Contents] ● 상위 25대 오류 목록 사용 안내 ● 상위 25대 오류 요약 목록 ● 상위 25대 오류 분류유형 ● 상위 25대 오류 목록의 구성 ● CWE에 대한 상세 설명 ● 주요 완화 방법 (Monster Mitigations) ● 부록 A: 선정 기준 및 추가 정보란 ● 부록 B: 2011년도 상위 25대 오류 목록의 바..
http://goo.gl/oFYFS 2단계 인증 기능 사용 권장 : http://goo.gl/rtmCl 견고한 비밀번호 계도 영상 제공 : http://goo.gl/04a4G http://goo.gl/ekTr1 이메일(피싱) 주의 관련 : 이메일 메시지를 통한 비밀번호 입력 요구는 피싱임 지메일 환경설정 체크 : 메일자동전달 / POP / IMAP / 사용권한 등 붉은 색의 계정 이상활동 감지 경고 체크 : 지메일 상단표출 브라우저의 변경 : 크롬으로?! 보안 향상을 위한 제언 : http://www.google.com/help/security/ 보안 동영상 참고 : http://goo.gl/X825W