- 데이터 검증
- 오버플로우
- DoS
- 구성 취약점
- CSRF
- XSS
- 인젝션
- 불완전한 파일 포함
- 불완전한 암호화
- 불완전한 직접 개체 참조
- 부적절한 오류 처리
- 불완전한 세션 처리
- 국내 보안 시장
- 망분리
- 정보보안업체
- 침투 테스트 도구
- 참고 문헌
오픈소스를 배포할 때 문제가 될 수 있는 보안 취약점을 정리 한다. 이는 오픈소스만의 문제는 아니고 다른 모든 소프트웨어의 공통 문제점 이라 할 수 있다.
데이터 검증
오버플로우
DoS
구성 취약점
CSRF
크로스 사이트 요청 변조
XSS
크로스 사이트 스크립팅, HTML 인젝션
공격자가 피해자의 브라우저에서 스크립트를 실행 하도록 허용하는 위험
인젝션
SQL, LDAP, XPath, XSLT, HTML, XML, OS 명령어 인젝션 등이 있음
사용자가 입력한 데이터가 명령어나 질의어의 일부로써 인터프리터에 보내질 때, 특별히 제작된 데이터를 입력하여 인터프리터를 속여 의도 되지 않은 명령어들을 실행 하도록 하는 위험
불완전한 파일 포함
불완전한 암호화
불완전한 직접 개체 참조
부적절한 오류 처리
불완전한 세션 처리
국내 보안 시장
한국IDC의 국내 보안 시장 전망
2008년 : 2107억원
2009년 : 2230억원 (5.8% 증가)
콘텐츠 보안 및 위협 관리(SCTM, Secure Content & Threat Management) 부문이 1288억원
보안 관리 및 취약점 관리(SVM, Security & Vulnerability Management) 부문이 354억원
사용자 계정 및 접근 권한 관리(IAM, Identity & Access Management) 부문이 364억원
기타 부문이 224억원
시만텍이 선정한 2009년도 보안 트랜드
악성 코드를 포함한 스팸 메일의 증가
소셜 네트워크 서비스에 대한 공격의 일반화
가짜 보안 소프트웨어 사기 증가
악성 코드 생성 프로그램 인기
봇넷의 급부상
온라인 위협에 대처하기 위한 업계 전체의 협업 확대
세계적인 핫 이슈 및 사건사고 뉴스 악용사례 급증
주류로 떠오른 드라이브 바이 다운로드(Drive-by download) 공격
맥콜로(McColo) 이전 수준으로 복귀한 스팸 발생량
다형성(Polymorphic) 바이러스의 출현
평판 도용의 증가
계속되는 데이터 유출 사고
시만텍이 선정한 2010년도 보안 트랜드
안티바이러스 프로그램만으로 부족하다.
주 공격 수단으로 악용되는 사회 공학
가짜 보안 소프트웨어 사기 확산
소셜 네트워크 사이트에 대한 지속적인 보안 위협
윈도우 7이 해커들의 공격 목표로 부상
패스트-플럭스(Fast Flux) 봇넷의 증가
피승 공격자들의 URL 단축 서비스 선호
맥(Mac)과 스마트폰을 겨냥한 악성 코드 증가
금전적 이득을 노린 스팸 공격 지속
악성 코드의 전문화
자동 계정 생성 방지 기술 (CAPTCHA)의 향상
인스턴스 메신저를 이용한 스팸
비영어권 사용자를 겨냥한 스팸이 증가
망분리
정보보안업체
안랩, 인포섹, 시큐아이, 윈스, 이글루시큐리티
SGA, 지란지교소프트, 소프트포럼, 파수닷컴, 이니텍
침투 테스트 도구
Nmap : 네트워크 검색, 포트 스케인, 운영체제 탐지, IDS 회피/스푸핑 등
Aircrack-ng : 패킷 캡쳐, WPA, WEP
Wifiphisher : 무선 액세스 포이트, 피싱
Burp Suite : 앱의 보안 취약점 탐지
OWASP ZAP : OWASP