문서의 제목 나눔고딕B, 54pt
|
|
- 서웅 야
- 6 years ago
- Views:
Transcription
1 소프트웨어개발보안 김현철
2 2
3 목차 1. 소프트웨어중요성 2. 소프트웨어개발보안 3. 소프트웨어개발보안제도 4. SW 보안약점및정적진단의한계 5. 맺음말
4 1. 소프트웨어중요성
5 1. 소프트웨어중요성 CES 2014/2015 주요키워드 : SMART! 5
6 1. 소프트웨어중요성 SMART Generation : Software World! 6
7 1. 소프트웨어중요성 Why Software is Eating the World? - Marc Andreessen Aug. Wall Street Journal 비즈니스리더의 81 % 는기술이비즈니스모델의기본요소 6 억개이상의 Tablet 과 1 억 7 천만이상의스마트폰이직장에서사용됨 ( 12 년기준 ) 7 Global 2000 개기업의 99% 는 mission-critical application 에 Open Source 소프트웨어가사용될것 (2016 년 )
8 1. 소프트웨어중요성 소프트웨어의사소한결함이인류를파멸로이끌수있다! 8
9 1. 소프트웨어중요성 소프트웨어의사소한결함이당신의목숨을빼앗아갈수도있다! ( 09.8) Lexus Pedal Gate 일가족넷을태운 2009 년형렉서스 ES 350 이 125 마일 (195km/h) 의속도로질주하다고속도로진출입로가드레일을넘어추락, 일가족 4 명사망 출처 12~24V 전압이생산되어야하나, 7~30V 불안정한전압으로소프트웨어의오류가발생하여엔진스로틀밸브가과다하게개폐되고통제할수없는상황으로사고가발생한것이었으나, 운전석바닥에깔린매트가액셀러레이터에걸려자동차가통제를잃고가속을하는것으로가장해서발표 ( 14.2) 프리우스소프트웨어결함 하이브리드시스템내전력제어장치를관장하는소프트웨어결함으로주행중차량이정지하는문제 9
10 2. 소프트웨어개발보안
11 2. 소프트웨어개발보안 소프트웨어개발보안이란? 안전한 SW 개발을위해보안을고려하여기능을설계 구현하고 SW 등에존재할수있는 잠재적인보안취약점 ( 보안약점 ) 을제거하는등의 SW 개발과정에서의일련의보안활동 요구사항분석설계및디자인구현테스트유지보수 현재는 SW 개발과정중소스코드구현및개발단계를중심으로 SW 개발보안적용 11
12 2. 소프트웨어개발보안 12
13 2. 소프트웨어개발보안 1 요구사항 2 설계및디자인 3 시공 4 준공검사 5 완공 13
14 2. 소프트웨어개발보안 소프트웨어개발프로세스 계획문서 요구사항표준서 시스템요구사항 요구사항분석 요구사항검토회의 SW 요구사항 기본설계 설계표준서 기본설계검토회의 SW 아키텍처 상세설계 상세설계검토회의 코딩룰분석도구 SW 설계명세 구현표준서 구현 단위구현물 통합 시험착수준비검토회의 단위통합시험자동화도구 시험운영후서비스개시 선진국 한국 요구사항검토체크리스트 설계검토체크리스트 정적분석도구 추적성검토 ( 자동화도구이용 ) 코드검토체크리스트 1 년 6 개월 3 개월 3 개월 2 개월 1 년 10 개월 14
15 2. 소프트웨어개발보안 소프트웨어의난개발은가독성, 유지보수성, 안정성등을위협 15
16 [ 참고 ] 시스템계층에따른침해사고발생빈도 방화벽 IDS/IPS 웹방화벽 개발서버 AV 웹서버 데이터베이스 Internet DDoS 잘알려진웹서버이슈 잘알려진애플리케이션레벨의공격 Back-End 서버 / 시스템 SSL 포트스캔 패턴기반의공격 애플리케이션서버 침해사고발생빈도 0.5% 3% 10% 75% 16
17 [ 참고 ] 침해사고사례 1 접근제어기능이취약한 해커의컴퓨터 웹애플리케이션이취약한서버 1 취약한홈페이지로그인 2 요금명세서조회 3 로그인한사용자의고객번호 ( ) 4 Paros 에서위조된고객번호 ( ) 조회요청 조회결과전송 조회애플리케이션 5 DB 조회요청처리 조회결과전송 Paros 고객정보 DB 17
18 18
19 [ 참고 ] 침해사고사례 2 파일업로드취약점 계정관리미흡, 암호화되지않은 42 만명의이름, 주민등록번호, 이메일, 전화번호등 해킹 1 만 3 천명의프라임론패스, 비밀번호, 신용등급등 해킹 보조서버 제 3 의관련회사서버 공격당한 A 사의메인서버 침투 침투 해커컴퓨터 해커일당 필리핀 브라질등의해외서버 19
20 20
21 2. 소프트웨어개발보안방법론 SSDL(Secure Software Development Lifecycle) SDL 단계마다필수적인보안과무결성을보증하는소프트웨어개발방법론 SDL 단계별로적절한보안조치를통하여, 소프트웨어에대한안정성향상이목적대표적으로 Microsoft의 MS-SDL, 美 DHS 7 Touch Point가있음 21
22 [ 참고 ] 소프트웨어개발보안방법론사례 (MS-SDL) 마이크로소프트사는 SDL 을 (Secure Develop Lifecycle) 통한소프트웨어개발프로세스를 개선함으로써시스템취약점을획기적으로줄일수있었음 (Training) (Requirement) (Design) (Implementation) 소프트웨어개발보안교육 (Core training) 소프트웨어의질과버그경계정의 (Define quality gates / bug bar) 보안과프라이버시위험분석 (Analyze security and privacy risk) 공격영역분석 (Attack surface analysis) 위협모델링 (Threat modeling) 도구명세 (Specify tool) 금지된함수사용제한 (Enforce banned functions) 정적분석 (Static analysis) (Response) (Release) (Verification) 사고대응수행 (Response execution) 사고대응계획 (Response Plan) 동적 / 퍼징테스팅 (Dynamic/Fuzztesting) 최종보안검토 (Final security review) 기록보관 (Release archive) 공격영역 / 위협모델검증 (Verify threat models /attack surface) 22
23 [ 참고 ] 소프트웨어개발보안방법론사례 (MS-SDL) 성공사례인하나인 MS-SDL 출처 : 출처 : The Economic Impacts of Inadequate Infrastructure for SW Testing(2002.5, NIST) 사전점검을통해 SW 개발보안이이루어지면취약점조치비용절약 ( 설계단계대비최대 30 배의취약점수정비용절약 ) 23
24 [ 참고 ] SW 개발보안지원을위한우리의활동은? 가이드개발, 교육과정운영, 보안약점진단, 최신동향분석등 개발자 ( 심화교육 ),
25 3. 소프트웨어개발보안제도
26 3. 소프트웨어개발보안제도 보안약점 (Weakness) VS 취약점 (Vulnerability) 보안약점 (SW weakness) 해킹등실제보안사고에악용될수있는보안취약점의근본원인 보안취약점 (SW Vulnerability) 소프트웨어실행시점에보안약점이원인이되어발생하는실제적인위협 보안약점 보안취약점보안취약점예방정책 : 보안약점제거 software 26
27 3. 소프트웨어개발보안제도 정보시스템개발단계에서 SW( 소스코드 ) 보안약점제거조치의무화 근거 : 행정기관및공공기관정보시스템구축 운영지침 ( 행정자치부고시제 호, ) 구분내용비고 대상 행정기관및공공기관의정보시스템감리대상정보화사업 ('12.12 월 ) 40 억이상 ('14.1 월 ) 20 억이상 ('15.1 월 ) 감리대상전체 단계적확대 범위 소스코드 ( 신규개발전체또는유지보수로변경된부분 ) 단, 상용 SW 제외 SW 보안약점기준 (SQL 삽입등 47 개항목 ) 행정기관및공공기관정보시스템구축 운영지침 ' 별표 3' 진단기준 기준 및 기타 감리법인이진단도구사용시, 국정원장이인증한도구를사용 진단도구 : 소스코드상의 SW 보안약점을찾기위하여사용하는분석도구 감리법인이 SW 보안약점진단시, 진단원을우선적으로배치하도록권고 SW 보안약점진단원 : SW 결함, 오류등으로사이버공격을유발할가능성이있는 SW 보안약점에대한진단을수행하는자 27 '14.1 월부터적용 진단원활용
28 3. 소프트웨어개발보안제도 구분내용비고 행정자치부 국정원과협의하여지침고시, 가이드배포, 보안약점진단원자격부여등 행정기관등 개발업체 감리법인 제안요청서에 SW 개발보안적용 명시 개발보안을위한소프트웨어진단도구사용여부, 개발절차와방법의적절성, 교육계획의적정성을평가에반영할수있음 SW 보안약점진단 제거결과확인 감리법인 ( 감리대상사업 ) 또는자체적 ( 감리대상外사업 ) 으로수행 개발인력대상 SW 개발보안관련교육실시 SW 개발보안가이드를참조하여개발 자체적으로 SW 보안약점진단및제거 SW 보안약점제거여부진단및조치결과확인 SW 보안약점진단시, 진단원우선배치 CC 인증 ( 국정원 ) 된진단도구사용 ('14.1월부터적용 ) ( 감리법인은진단도구가진단항목을진단하는지여부를확인해야함 ] 28 발주자 ( 공무원 ) 사업자 ( 개발자 ) 감리원 ( 진단원 )
29 [ 참고 ] 모바일개발보안제도 행정기관및공공기관의모바일대민서비스구축시개발보안적용의무화 근거 : 모바일전자정부서비스관리지침 ( 행정자치부고시제 호, ) 지원기관정책기관검증기관 정책지원 정책지원 앱현황관리 기준준수권고 배포 신청기관 소스코드검증신청 소스코드검증수행 사용자 [ 모바일대국민전자정부서비스앱소스코드검증체계 ]
30 [ 참고 ] 모바일개발보안제도 ( 소스코드보안성검증 ) 검증단계 준비및신청 보안성보안성검증검증 배포보안성배포및및서비스검증서비스 01 제출물준비보안명세서, 실행앱, 소스코드 검증신청공문, 신청서, 제출물 02 소스코드기능보안성점검 보완조치및조치내역확인 03 각기관에서앱스토어를통한자율배포 검증수요에따라검증대기가능 최초 : 1주, 조치확인 : 1주이내 지원센터 : 2주 ( 필요시, 2주추가소요 ) 검증신청준비물 제출처 공문 검증신청서 보안명세서 소스코드, 실행파일 우편 : 서울시송파구중대로 135 IT벤처타워서관 6층보안평가인증팀 연락처 : kisaappverify@kisa.or.kr
31 4. SW 보안약점및정적진단의한계
32 4-1. 소프트웨어보안약점 입력데이터검증및표현등 7 개분류 47 개항목으로구성 유형 입력데이터검증및표현 주요내용 프로그램입력값에대한부적절한검증등으로인해발생할수있는보안약점 ( 예 ) SQL 삽입, 자원삽입, 크로스사이트스크립트등 개수 ( 총 47 개 ) 15 개 보안기능 시간및상태 인증, 접근제어, 권한관리등을적절하지않게구현시발생할수있는보안약점 ( 예 ) 부적절한인가, 중요정보평문저장, 하드코드된패스워드등 멀티프로세스동작환경에서부적절한시간및상태관리로발생할수있는보안약점 ( 예 ) 경쟁조건 (TOCTOU), 제어문을사용하지않는재귀함수등 16 개 2 개 에러처리 불충분한에러처리로중요정보가에러정보에포함되어발생할수있는보안약점 ( 예 ) 오류상황대응부재, 오류메시지를통한정보노출등 3 개 코드오류 개발자가범할수있는코딩오류로인해유발되는보안약점 ( 예 ) 널포인터역참조, 부적절한자원해제등 4 개 캡슐화 불충분한캡슐화로인가되지않은사용자에게데이터가노출될수있는보안약점 ( 예 ) 제거되지않고남은디버그코드, 시스템데이터정보노출등 5 개 API 오용 부적절하거나, 보안에취약한 API 사용으로발생할수있는보안약점 ( 예 ) DNS lookup 에의존한보안결정등 2 개 32
33 4-1. 소프트웨어보안약점 행정자치부 21 개웹취약점표준점검항목, OWASP, CWE 등반영 SQL 삽입 경로조작및자원삽입 크로스사이트스크립트 운영체제명령어삽입 위험한형식파일업로드 신뢰되지않은 URL 주소로자동접속연결 입력데이터검증및표현 XQuery 삽입 XPath 삽입 LDAP 삽입 크로스사이트요청위조 HTTP 응답분할 정수형오버플로우 보안기능결정에사용되는부적절한입력값 메모리버퍼오버플로우 포맷스트링삽입 적절한인증없는중요기능허용 부적절한인가 주요한자원에대한잘못된권한설정 취약한암호화알고리즘사용 중요정보평문저장 중요정보평문전송 보안기능 하드코드된비밀번호 충분하지않은키길이사용 적절하지않은난수값사용 하드코드된암호화키취약한비밀번호허용 사용자하드디스크에저장되는쿠키를통한정보노출 주석만안네포함된시스템주요정보 솔트없이일방향해쉬함수사용 무결성검사없는코드다운로드 반복된인증시도제한기능부재 시간및상태 검사시점과사용시점 종료되지않은반복문재귀함수 에러처리 오류메시지를통한정보노출 오류상황대응부재 부적절한예외처리 코드오류 Null Pointer 역참조부적절한자원해제해제된자원사용 초기화되지않은변수사용 캡슐화 잘못된세션에의한데이터정보노출 제거되지않고남은디버그코드 시스템데이터정보노출 Public 메소드부터반환된 Private 배열 Private 배열에 Public 데이터할당 API 오용 DNS Lookup 에의존한보안결정 취약한 API 사용 33
34 [ 참고 ] 소프트웨어개발보안관련가이드 KISA 대표홈페이지자료실 -> 안내서 / 해설서다운로드가능 개발보안가이드 시큐어코딩가이드 (Java) 시큐어코딩가이드 (C 언어 ) 모바일구축가이드 시큐어코딩가이드 (A-Java) 진단가이드 (2012 년 ) 진단가이드 (2013 년 ) 모바일취약점점검가이드 34
35 [ 참고 ] 소프트웨어개발보안관련가이드 소프트웨어개발보안가이드 35
36 4-2. 소스코드정적진단의한계 비정형화된패턴의소스코드보안약점은어떻게할것인가? 소프트웨어가실행되는시점에사용되는정보에대한진단은어떻게 할것인가? 사람에의해판단이필요한부분에대한진단은어떻게할것인가? 36
37 4-2. 소스코드정적진단의한계 SQL-INJECTION 36: <tr><td height=5 colspan=2></td></tr> 37: <? 38: $sql=" select * from poll_s_table where apm_id=$apm_id order by aps_id "; 39: $result = mysql_query($sql); 40: while($row=mysql_fetch_array($result)) { 41:?> 42: <tr> apm_id 매개변수에 SQL 구문삽입시 Mysql 오류 37
38 4-2. 소스코드정적진단의한계 하드코드된중요정보 1: <? 2: $dbconn = mysql_connect("localhost", A", A"); 3: mysql_select_db( A_DB",$dbconn); 4: //mysql_query("set names euckr"); 5:?> 38
39 4-2. 소스코드정적진단의한계 파일업로드취약점 57. var ImageFile = document.myform.filename.value; 58. var extfile = ImageFile.split("\\"); 59. var ImgInfo = extfile[extfile.length-1]; 60. var ext = ImgInfo.split("."); 61. if (ext[1].touppercase() == "JPG" ext[1].touppercase() == "GIF"){.JPG.GIF 등파일업로드가능. 첫번째확장자만검사 39
40 4-2. 소스코드정적진단의한계 진단기법에따른보안약점 TOP 10(2014 년진단결과 ) 크로스사이트스크립트 42.23% 크로스사이트스크립트 35.38% 부적절한예외처리 19.04% 반복된인증시도제한기능부재 12.31% 오류메시지를통한정보 15.13% 하드코드된비밀번호 10.77% 오류상황대응부재 10.22% 오류메시지를통한정보 9.23% SQL 삽입 5.26% 위험한형식파일업로드 7.69% 부적절한자원해제 1.50% 취약한비밀번호허용 4.62% 경로조작및자원삽입 1.47% Null Pointer 역참조 4.62% 잘못된세션에의한데이터정보노출 1.20% 오류상황대응부재 3.08% Null Pointer 역참조 0.68% SQL 삽입 3.08% 취약한암호화알고리즘사용 0.65% 중요정보평문전송 3.08% 40
41 4-2. 소스코드정적진단의한계 진단기법에따른보안약점분류 정적진단항목 22개항목 (47%) 정수형오버플로우, 부적절한자원해제 정적 + 동적진단항목 19개항목 (40.43%), 취약한암호화알고리즘사용등 SQL 삽입, 크로스사이트스크립트, 취약한비밀번호허용등 동적진단항목 6개항목 (12.77%) 적절한인증없는중요기능허용, 부적절한인가, 중요정보평문전송등 시간및상태, API 오용유형 100% 캡슐화, 코드오류 75% 이상 입력데이터검증및표현, 보안기능, 에러처리는 43.75% 이하 소스코드내용파악이필요한보안약점으로동적진단불가 부적절한자원해제, 메모리버퍼오버플로우등동적진단으로공격할지점을찾기어려움 입력데이터검증및표현, 에러처리는 66.67% 보안기능, 코드오류, 캡슐화는 31.25% 이하 시간및상태, API 오용은 0% 입력과출력이명확한항목이진단가능 에러에의해오류메시지가표현되는유형진단가능 41 보안기능은 25% 입력데이터검증및표현은 13.33% 적절한인증없는중요기능허용, 부적절한인가등의적절하지않은행위에대해소스코드로표현되는구체적인기준이없음 중요정보평문전송, 저장등의기능에대해자주사용되는패턴이없음
42 4-3. 효과적인소스코드진단방법 소프트웨어에대한효과적인진단방법은? 42
43 4-3. 효과적인소스코드진단방법 소스코드에대한정적진단과실행소프트웨어에대한동적진단병행 소스코드준비 소스코드보안약점 ( 정적분석 ) 1 차진단 화이트박스블랙박스 모의해킹 ( 동적분석 ) 1차진단 소스코드수정 소스코드보안약점 ( 정적분석 ) 2 차진단 블랙박스 모의해킹 ( 동적분석 ) 2 차진단 검증종료 43
44 4-3. 효과적인소스코드진단방법 IAST : 소스코드의정적분석을수행하고실행시점의동적정보를분석 IAST : Interactive Application Security Testing(SAST + DAST) 44
45 5. 맺음말
46 5. 맺음말 참여주체의인식제고및역량강화가무엇보다중요 ( 발주기관 ) 사전요구사항명시, 사업관리및개발일정에반영개발보안전문역량을갖춘사업자우대등필요 ( 개발기관 ) 자체적인개발보안체계수립 적용확산필요자체코딩표준 ( 시큐어코딩등 ) 마련, 개발전문인력 장비확보등 ( 전문기관 ) 취약성분석및기술지원, 보안가이드보급및교육과정운영등 46
47 [ 참고 ] 소프트웨어개발보안관련교육일정 47
48 Q & A
49 감사합니다
5월-방지호1-1.indd
F O C U S 3 공개용소스코드보안약점분석도구개발동향 방지호 * 현재국가정보화사업으로개발되는정보시스템소프트웨어는개발단계부터보안약점 ( 보안취약점의원인 ) 이배제되도록개발하는 소프트웨어개발보안 적용이의무화되었다. 소프트웨어개발보안을적용하여안전한소프트웨어를개발및구현하기위해정적분석도구등다양한자동화도구가개발및활용되고있다. 국가정보화사업에대한감리시감리법인이보안약점을진단하기위해정적분석기반의자동화도구인소스코드보안약점분석도구를사용하는경우
More informationMicrosoft PowerPoint - file
SW 보안약점소개 SIGPL Workshop, KCC2013 2013. 6. 28 한국항공대학교안준선 목차 시큐어코딩, 보안약점, 보안취약점 SW 보안약점의유형 입력데이터검증및표현 (Input Validation and Representation) API 오용 (API Abuse) 보안기능 (Security Features) 시간및상태 (Time and State)
More information2015 년 SW 개발보안교육과정안내
2015 년 SW 개발보안교육과정안내 2015 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다. 2015 년 SW 개발보안일반과정 교육대상 : 전자정부정보화사업담당공무원및개발자 교육기간 년 월 년 월
More information2007 상반기 실적회의 - DRM Extension
Secure Coding 을위한 Semantic 분석엔진 SPARROW SCE PA 사업부개발 2 팀장 정영범박사 사이버해킹 55 억 보안취약점 75% 보안약점의조기제거 30 배 Secure Coding Mandatory 2012.12 40억이상 2014. 20억이상 2015. 감리대상사업전체 행정기관 제안요청서에 SW 개발보안적용명시 계약시 SW개발보안을위한적절한개발절차및진단도구사용여부확인
More information2017 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및개 발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안기본과정 o 교육대상 :
2017 년 SW 개발보안교육과정안내 2017 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및개 발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다. 2017 년 SW 개발보안기본과정 o 교육대상 : 전자정부정보화사업담당공무원및개발자 o 교육기간 : 2017년
More information암호내지2010.1.8
Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀
More informationObservational Determinism for Concurrent Program Security
웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구
More information<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>
개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000
More information범정부서비스참조모형 2.0 (Service Reference Model 2.0)
범정부서비스참조모형 2.0 (Service Reference Model 2.0) 2009. 12 - 1 - - 2 - - 3 - - 4 - < - 5 - - 6 - 1) 별첨 2 공유자원현황목록참조 - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 -
More informationii iv 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 2 3 4 5 1 3 6 37 제품군 제품분류 39 제출물관리대장 41 43 45 47 < 접수번호 > 관리번호 평가결과보고서 < 평가대상제품명 > 년월일 < 평가기관명 > 49 제 1 장개요 o 일반적으로다음의사항을포함한다. - 정보보호제품평가인증관련규정 (
More information제목 레이아웃
웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More information2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안일반과정 교육대상 : 전
2018 년 SW 개발보안교육과정안내 2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다. 2018 년 SW 개발보안일반과정 교육대상 : 전자정부정보화사업담당공무원및개발자 교육기간 년 월 년 월년
More informationOracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용
Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the
More informationmytalk
한국정보보호학회소프트웨어보안연구회 총괄책임자 취약점분석팀 안준선 ( 항공대 ) 도경구 ( 한양대 ) 도구개발팀도경구 ( 한양대 ) 시큐어코딩팀 오세만 ( 동국대 ) 전체적인 그림 IL Rules Flowgraph Generator Flowgraph Analyzer 흐름그래프 생성기 흐름그래프 분석기 O parser 중간언어 O 파서 RDL
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More information모바일전자정부서비스앱검증신청기관을위한모바일앱보안성검증안내서 V1.0 2011.8. 제개정이력 (Revision History) 순번 제개정일 변경내용발간팀비고 1 2011.8.25 [ 제정] 모바일앱보안성검증안내서 공공소프트웨어보호팀 V1.0 목 차 제1 장개요 1 제1 절목적 1 제2 절적용범위 1 제3 절문서구성 1 제2 장검증체계 2 제1 절역할및책임
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information최종_백서 표지
정보보호 활동 제 제 제 제 제 제 장 장 장 장 장 장 인터넷 침해사고 대응 및 예방 활동 정보통신서비스 제공자 등의 정보보호 주요정보통신기반시설 보호 활동 전자정부 정보보호 활동 개인정보보호 활동 대국민 정보보호 활동 제 장 웹서버 파괴 및 대북 보수단체 홈페이지 14개의 자료가 삭제되는 등의 큰 피해로 이어졌다. 한편 6월 25일부터 정부기관, 언론사,
More informationJAVA PROGRAMMING 실습 08.다형성
2015 학년도 2 학기 1. 추상메소드 선언은되어있으나코드구현되어있지않은메소드 abstract 키워드사용 메소드타입, 이름, 매개변수리스트만선언 public abstract String getname(); public abstract void setname(string s); 2. 추상클래스 abstract 키워드로선언한클래스 종류 추상메소드를포함하는클래스
More informationFrama-C/JESSIS 사용법 소개
Frama-C 프로그램검증시스템소개 박종현 @ POSTECH PL Frama-C? C 프로그램대상정적분석도구 플러그인구조 JESSIE Wp Aorai Frama-C 커널 2 ROSAEC 2011 동계워크샵 @ 통영 JESSIE? Frama-C 연역검증플러그인 프로그램분석 검증조건추출 증명 Hoare 논리에기초한프로그램검증도구 사용법 $ frama-c jessie
More informationDBMS & SQL Server Installation Database Laboratory
DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More informationMicrosoft PowerPoint - CSharp-10-예외처리
10 장. 예외처리 예외처리개념 예외처리구문 사용자정의예외클래스와예외전파 순천향대학교컴퓨터학부이상정 1 예외처리개념 순천향대학교컴퓨터학부이상정 2 예외처리 오류 컴파일타임오류 (Compile-Time Error) 구문오류이기때문에컴파일러의구문오류메시지에의해쉽게교정 런타임오류 (Run-Time Error) 디버깅의절차를거치지않으면잡기어려운심각한오류 시스템에심각한문제를줄수도있다.
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More informationH3250_Wi-Fi_E.book
무선 LAN 기능으로 할 수 있는 것 2 무선 LAN 기능으로 할 수 있는 것 z q l D w 3 Wi-Fi 기능 플로우차트 z q l D 4 Wi-Fi 기능 플로우차트 w 5 본 사용 설명서의 기호 설명 6 각 장별 목차 1 2 3 4 5 6 7 8 9 10 11 12 13 14 7 목차 1 2 3 4 8 목차 5 6 7 8 9 9 목차 10 11 12
More information¿ÀǼҽº°¡À̵å1 -new
Open Source SW 4 Open Source SW 5 Korea Copyright Commission 8 Open Source SW 9 10 Open Source SW 11 12 Open Source SW 13 14 Open Source SW 15 Korea Copyright Commission 18 Open Source SW 19 20 Open
More information1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3
CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More informationKISA 안내 해설제 2011-3 호 종합 2011. 1 2011. 1 Contents 1 2 2 2 3 3 6 7 8 8 8 9 9 10 11 11 13 14 14 14 17 18 22 23 24 30 30 49 55 56 56 57 59 59 71 77 77 77 77 78 81 82 82 82 82 87 88 88 89 90 91 93 98 100
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More informationF1-1(수정).ppt
, thcho@kisaorkr IPAK (Information Protection Assessment Kit) IAM (INFOSEC Assessment Methodology) 4 VAF (Vulnerability Assessment Framework) 5 OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
More information레이아웃 1
소프트웨어취약점분석솔루션 HPE Fortify NOW 보안취약점은 하드웨어, 네트워크, 소프트웨어등모든수준의기업인프라에영향을미칠수있는보안위협의원천이되는프로그램상의약점입니다. 이러한보안취약점은악의적인사용자가보안기능을피해데이터를훔치거나변경하고, 엑세스를거부하고, 중요한비즈니스프로세스를손상시키는수단으로사용됩니다. 1 보안취약점의증가 2012년에보고된새로운보안취약점은총
More informationMicrosoft PowerPoint - chap01-C언어개요.pptx
#include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을
More information목차 BUG 문법에맞지않는질의문수행시, 에러메시지에질의문의일부만보여주는문제를수정합니다... 3 BUG ROUND, TRUNC 함수에서 DATE 포맷 IW 를추가지원합니다... 5 BUG ROLLUP/CUBE 절을포함하는질의는 SUBQUE
ALTIBASE HDB 6.3.1.10.1 Patch Notes 목차 BUG-45710 문법에맞지않는질의문수행시, 에러메시지에질의문의일부만보여주는문제를수정합니다... 3 BUG-45730 ROUND, TRUNC 함수에서 DATE 포맷 IW 를추가지원합니다... 5 BUG-45760 ROLLUP/CUBE 절을포함하는질의는 SUBQUERY REMOVAL 변환을수행하지않도록수정합니다....
More information서현수
Introduction to TIZEN SDK UI Builder S-Core 서현수 2015.10.28 CONTENTS TIZEN APP 이란? TIZEN SDK UI Builder 소개 TIZEN APP 개발방법 UI Builder 기능 UI Builder 사용방법 실전, TIZEN APP 개발시작하기 마침 TIZEN APP? TIZEN APP 이란? Mobile,
More information커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서
커알못의 커널 탐방기 2015.12 이 세상의 모든 커알못을 위해서 개정 이력 버전/릴리스 0.1 작성일자 2015년 11월 30일 개요 최초 작성 0.2 2015년 12월 1일 보고서 구성 순서 변경 0.3 2015년 12월 3일 오탈자 수정 및 글자 교정 1.0 2015년 12월 7일 내용 추가 1.1 2015년 12월 10일 POC 코드 삽입 및 코드
More informationSW¹é¼Ł-³¯°³Æ÷ÇÔÇ¥Áö2013
SOFTWARE ENGINEERING WHITE BOOK : KOREA 2013 SOFTWARE ENGINEERING WHITE BOOK : KOREA 2013 SOFTWARE ENGINEERING WHITE BOOK : KOREA 2013 SOFTWARE ENGINEERING WHITE BOOK : KOREA 2013 SOFTWARE ENGINEERING
More informationPowerPoint 프레젠테이션
System Software Experiment 1 Lecture 5 - Array Spring 2019 Hwansoo Han (hhan@skku.edu) Advanced Research on Compilers and Systems, ARCS LAB Sungkyunkwan University http://arcs.skku.edu/ 1 배열 (Array) 동일한타입의데이터가여러개저장되어있는저장장소
More information인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷
인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름
EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection
More information13 Who am I? R&D, Product Development Manager / Smart Worker Visualization SW SW KAIST Software Engineering Computer Engineering 3
13 Lightweight BPM Engine SW 13 Who am I? R&D, Product Development Manager / Smart Worker Visualization SW SW KAIST Software Engineering Computer Engineering 3 BPM? 13 13 Vendor BPM?? EA??? http://en.wikipedia.org/wiki/business_process_management,
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More informationꠏꠏꠏꠏ ꠏꠏꠏꠏ ꠏꠏꠏꠏ A4 SPA RCcenter 20 00 SPARC center 2000 ꡔꡕ Web Browser Internet ( HTTP ) ( HTTP ) (Z39.50 ) / DB/ DB ( HTTP) Web Server Doc Server KAIST DB PC
More informationJVM 메모리구조
조명이정도면괜찮조! 주제 JVM 메모리구조 설미라자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조장. 최지성자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조원 이용열자료조사, 자료작성, PPT 작성, 보고서작성. 이윤경 자료조사, 자료작성, PPT작성, 보고서작성. 이수은 자료조사, 자료작성, PPT작성, 보고서작성. 발표일 2013. 05.
More informationAhnLab_template
해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web
More informationMicrosoft PowerPoint - 6.pptx
DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향
More informationMicrosoft PowerPoint - 3-OWASP시큐어코딩_조민재.pptx
SigPL Secure Coding Workshop 웹어플리케이션취약점대응을위한 시큐어코딩소개 2013. 06. 28 Korea Chapter 조민재이사 johnny.cho@owasp.org Copyright The Korea Permission is granted to copy, distribute and/or modify this document under
More informationTTA Journal No.157_서체변경.indd
표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH
More informationPoison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3
Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3 Example 3.1 Files 3.2 Source code 3.3 Exploit flow
More information[Brochure] KOR_TunA
LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /
More information목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널
무선단말기와 PC간공인인증서전송을위한기술규격 Certificate Transmission between PC to Mobile Device v2.10 2012 년 11 월 목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 1 3.1 국외표준및규격 1 3.2 국내표준및규격 1 3.3 기타 2 4. 정의 2 4.1 전자서명법용어정의 2 4.2 용어의정의
More information목 차 주요내용요약 1 Ⅰ. 서론 3 Ⅱ. 스마트그리드산업동향 6 1. 특징 2. 시장동향및전망 Ⅲ. 주요국별스마트그리드산업정책 17 Ⅳ. 미국의스마트그리드산업동향 스마트그리드산업구조 2. 스마트그리드가치사슬 3. 스마트그리드보급현황 Ⅴ. 미국의스마트그리드정
2012-02 2012. 1. 13 미국스마트그리드산업의 Value Chain 및정책동향 주요내용요약 서론 스마트그리드산업동향 주요국별스마트그리드산업정책 미국의스마트그리드산업동향 미국의스마트그리드정책동향 21세기스마트그리드산업전략 결론 작성김정욱책임연구원, 미국거점 kjwcow@kiat.or,kr +1-404-477-3288 감수조영희팀장, 국제협력기획팀 yhcho@kiat.or.kr
More informationPowerPoint 프레젠테이션
HTML5 웹프로그래밍입문 부록. 웹서버구축하기 1 목차 A.1 웹서버시스템 A.2 PHP 사용하기 A.3 데이터베이스연결하기 2 A.1 웹서버시스템 3 웹서버의구축 웹서버컴퓨터구축 웹서버소프트웨어설치및실행 아파치 (Apache) 웹서버가대표적 서버실행프로그램 HTML5 폼을전달받아처리 PHP, JSP, Python 등 데이터베이스시스템 서버측에데이터를저장및효율적관리
More information804NW±¹¹®
Copyright Samsung SDS All rights Reserved. 1 2 3 4 센트에서 빼낸 다음 삼성 S D S 고객센터 기사에게 연락합니다. 5 6 삼성 고객센터 기사에게 이지온 영상 전화기가 작동하는 상태에서 안전점검을 수행토록 요구해야 합니다 7 8 반드시 삼성 에서 승인된 부품만을 사용해야 합니다 삼성 에서 승인된 부품을 사용하지 않을
More informationBusiness Agility () Dynamic ebusiness, RTE (Real-Time Enterprise) IT Web Services c c WE-SDS (Web Services Enabled SDS) SDS SDS Service-riented Architecture Web Services ( ) ( ) ( ) / c IT / Service- Service-
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More information품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ]
품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ] 2014. 10. 목 차 I. Stack 통합테스트개요 1 1. 목적 1 II. 테스트대상소개 2 1. The Bug Genie 소개 2 2. The Bug Genie 주요기능 3 3. The Bug Genie 시스템요구사항및주의사항 5 III. Stack 통합테스트 7 1. 테스트환경
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More information슬라이드 1
-Part3- 제 4 장동적메모리할당과가변인 자 학습목차 4.1 동적메모리할당 4.1 동적메모리할당 4.1 동적메모리할당 배울내용 1 프로세스의메모리공간 2 동적메모리할당의필요성 4.1 동적메모리할당 (1/6) 프로세스의메모리구조 코드영역 : 프로그램실행코드, 함수들이저장되는영역 스택영역 : 매개변수, 지역변수, 중괄호 ( 블록 ) 내부에정의된변수들이저장되는영역
More informationPower Point Templates
이제공하는소스코드통합보안관리시스템 BigLook WASS 제안서 1. 회사소개 2. BigLook WASS 개요 3. 상세기능소개 4. 적용사례및기대효과 1. 회사소개 1.1 개요 유무선통합및ICT 기술서비스리더기업 설립연도 : 1984년 3월 무선인터넷, 이동전화, 유무선네트웍서비스 소프트웨어개발및해외투자사업 T-biz 그룹웨어서비스오픈 (2012) Cloud
More informationPowerPoint 프레젠테이션
Team 1 201611293 전다윤 201311287 엄현식 201311318 최정헌 01. 문서수정 02. System Test Review 03. Static Test Review 04. 소감 1 문서수정 문서수정 수정 System Test 문서 + 전문서에없던수정사항 수정 System Test 문서 문서수정 소프트웨어검증팀의문서대로수정한사항들 1008
More informationhelpU 1.0
helpu May I help You 고품격 저비용 합리적인 원격지원 헬프유 목차 1. 제안 배경 2. 헬프유 개요 3. 파격 제안 4. 경쟁사 비교 5. 안전성 검증 6. 주요 기능 7. 도입 효과 기존 고객지원의 문제점 및 환경요인 > IT 기반의 Customer Service 수준 향상 추진 필요 노후한 고객지원 환경 전화를 통한 고객응대 시간 지체로
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information웹서버보안취약점대응및조치 교육사이버안전센터
웹서버보안취약점대응및조치 2010. 5. 교육사이버안전센터 목차 Ⅰ 웹보안개요 Ⅱ Ⅲ Ⅳ 최신기술동향주요해킹기술및대응방안취약점사고사례 Ⅴ 참고자료 Ⅰ 웹보안개요 I. 웹보안개요 1. 웹구조의이해 URL: 프로토콜 :// 호스트명 [: 포트번호 ]/[ 경로 /] 파일명 [?Param= 값 ] HTTP: // www.ecsc.go.kr / Login.jsp? User=name
More informationB _00_Ko_p1-p51.indd
KOS-V000 B64-797-00/00 (MV) KOS-V000 설명서를 보는 방법 이 설명서에서는 삽입된 그림을 통해 작동 방법을 설명합니다. 이 설명서에 나타낸 화면과 패널은 작동 방법을 자세히 설명하는 데 이용되는 예입니다. 따라서 실제 화면이나 패널과 다르거나 일부 디 스플레이 패턴이 다를 수도 있습니다. 찾기 모드 방송국 선택 설정. TUNER
More information발신자 목적지 발신자 목적지 발신자 목적지 공격자 발신자 목적지 발신자 목적지 공격자 공격자
발신자 목적지 발신자 목적지 발신자 목적지 공격자 발신자 목적지 발신자 목적지 공격자 공격자 접근시도 해커 인터넷 거부 방화벽 LAN P 평문 암호화 (E) C 암호문 암호해독 (D) P 평문 비밀 K 비밀 K P 평문 암호화 (E) C 암호문 암호해독 (D) P 평문 공개 KU B 비밀 KR B 평문 : a b c d e f g h i j k l m n
More information소프트웨어 보안을 위한 바이너리 분석 기법 동향
소프트웨어보안을위한 바이너리분석기법동향 동국대학교손윤식 4 차산업혁명시대 : 소프트웨어중심사회 4 차산업혁명시대의위협 : 소프트웨어버그 / 에러 / 오류 ( 일반적인 ) 버그 : 정상적작동중설계 / 코딩등의잘못으로발생하는버그 SW 품질, 안전성, 신뢰성등저하 취약점 : 정상적작동중공격자의의도로발생하는보안약점 사이버공격에사용 소프트웨어안전성 (Safety) 탄생
More information쉽게 풀어쓴 C 프로그래밊
Power Java 제 27 장데이터베이스 프로그래밍 이번장에서학습할내용 자바와데이터베이스 데이터베이스의기초 SQL JDBC 를이용한프로그래밍 변경가능한결과집합 자바를통하여데이터베이스를사용하는방법을학습합니다. 자바와데이터베이스 JDBC(Java Database Connectivity) 는자바 API 의하나로서데이터베이스에연결하여서데이터베이스안의데이터에대하여검색하고데이터를변경할수있게한다.
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port
More informationPowerPoint 프레젠테이션
MySQL - 명령어 1. 데이터베이스관련명령 2. 데이터베이스테이블관련명령 3. SQL 명령의일괄실행 4. 레코드관련명령 5. 데이터베이스백업및복원명령 1. 데이터베이스관련명령 데이터베이스접속명령 데이터베이스접속명령 mysql -u계정 -p비밀번호데이터베이스명 C: > mysql -ukdhong p1234 kdhong_db 데이터베이스생성명령 데이터베이스생성명령
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture3-2 Malware Analysis #3-2 Agenda 안드로이드악성코드분석 악성코드분석 안드로이드악성코드정적분석 APK 추출 #1 adb 명령 안드로이드에설치된패키지리스트추출 adb shell pm list packages v0nui-macbook-pro-2:lecture3 v0n$
More information오토10. 8/9월호 내지8/5
I ndustry Insight Telematics Detroit 2010: 스마트폰이 바꿔가는 車 내비게이션의 장래가 스마트폰과 애플리케이션으로 인해 불투명해지고 있지만, 오히려 이것은 텔레매틱스 서비스의 질적 향상과 대중화를 이끌고 있다. 지난 6월 미시간 주 노비에서 열린 텔레매틱스 디트로이트 2010 에서 패널들은 포터블 디바이스가 기 존 차량의 텔레매틱스
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More informationCloud Friendly System Architecture
-Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture
More information1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과
1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과 학습내용 1. Java Development Kit(JDK) 2. Java API 3. 자바프로그래밍개발도구 (Eclipse) 4. 자바프로그래밍기초 2 자바를사용하려면무엇이필요한가? 자바프로그래밍개발도구 JDK (Java Development Kit) 다운로드위치 : http://www.oracle.com/technetwork/java/javas
More information소개 는 국내 산업계 IC 전문 인재양성과 기술 보급을 위한 IC 표준화 및 시험인증 전문 교육기관입니다. IC 글로벌 경쟁력 제고를 위한 핵심인재 양성을 목적으로 교육세나 및 자격시험 서비스를 제공합니다. 교육 훈련비용 일부를 지원하는 직업능력개발훈련과정을 운영합니다
edu.tta.or.kr IC 핵심역량 강화를 위한 탁월한 선택 소개 는 국내 산업계 IC 전문 인재양성과 기술 보급을 위한 IC 표준화 및 시험인증 전문 교육기관입니다. IC 글로벌 경쟁력 제고를 위한 핵심인재 양성을 목적으로 교육세나 및 자격시험 서비스를 제공합니다. 교육 훈련비용 일부를 지원하는 직업능력개발훈련과정을 운영합니다. 연혁 2016 근로자 직업능력
More informationMicrosoft PowerPoint - 3.공영DBM_최동욱_본부장-중소기업의_실용주의_CRM
中 규모 기업의 실용주의CRM 전략 (CRM for SMB) 공영DBM 솔루션컨설팅 사업부 본부장 최동욱 2007. 10. 25 Agenda I. 중소기업의 고객관리, CRM의 중요성 1. 국내외 CRM 동향 2. 고객관리, CRM의 중요성 3. CRM 도입의 기대효과 II. CRM정의 및 우리회사 적합성 1. 중소기업에 유용한 CRM의 정의 2. LTV(Life
More information무인항공기 국제표준 현황 및 테스팅 형상관리 서비스
유무인항공기용 SW 안전가이드소개 정보통신산업진흥원 SW 공학기술팀 윤형진수석 (yhjsqa@nipa.kr) Contents 01 02 03 들어가기 유무인항공기시장동향 소프트웨어안전가이드소개 04 맺음말 01. 들어가기 01. 들어가기 테슬라전기차모델 S 는주기적인 SW 업그레이드를통해오래탈수록품질이좋아지는자동차입니다. - 파울라덴뒤넌테슬라유럽커뮤니케이션디렉터
More information로거 자료실
redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...
More informationPowerPoint Template
JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것
More information1 SW 2015. 02 26
02 1 SW 2015. 02 26 2-1 SW 2015. 02 27 SW 2015. 02 2-1 28 SW 2015. 02 29 2 SW 2015. 02 2-2 30 2-2 SW 2015. 02 31 SW 2015. 02 32 2-3 SW 2015. 02 33 3 SW 2015. 02 2-3 34 2-4 SW 2015. 02 35 4 SW 2015. 02
More informationSW 2015. 02 5-1 89
SW 2015. 02 88 SW 2015. 02 5-1 89 SW 2015. 02 5-2 5-3 90 SW 2015. 02 5-4 91 SW 2015. 02 5-5 5-6 92 5-7 SW 2015. 02 93 SW 2015. 02 5-8 5-1 94 SW 2015. 02 5-9 95 SW 2015. 02 5-10 5-2 96 SW 2015. 02 5-11
More information4S 1차년도 평가 발표자료
모바일 S/W 프로그래밍 안드로이드개발환경설치 2012.09.05. 오병우 모바일공학과 JDK (Java Development Kit) SE (Standard Edition) 설치순서 Eclipse ADT (Android Development Tool) Plug-in Android SDK (Software Development Kit) SDK Components
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More information비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리
ArcGIS for Desktop 10.4 Single Use 설치가이드 Software: ArcGIS for Desktop 10.4 Platforms: Windows 10, 8.1, 7, Server 2012, Server 2008 ArcGIS for Desktop 10.4 시스템 요구사항 1. 지원 플랫폼 운영체제 최소 OS 버전 최대 OS 버전 Windows
More informationContents Activity Define Real s Activity Define Reports UI, and Storyboards Activity Refine System Architecture Activity Defin
OSP Stage 2040 < Design > 그놈! Clone Checker Project Team T4 Date 2016-04-12 Team Information 201411258 강태준 201411265 김서우 201411321 홍유리 Team 4 1 Contents Activity 2041. Define Real s Activity 2042. Define
More informationSIGIL 완벽입문
누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS
More informationMySQL-.. 1
MySQL- 기초 1 Jinseog Kim Dongguk University jinseog.kim@gmail.com 2017-08-25 Jinseog Kim Dongguk University jinseog.kim@gmail.com MySQL-기초 1 2017-08-25 1 / 18 SQL의 기초 SQL은 아래의 용도로 구성됨 데이터정의 언어(Data definition
More information버퍼오버플로우-왕기초편 10. 메모리를 Hex dump 뜨기 앞서우리는버퍼오버플로우로인해리턴어드레스 (return address) 가변조될수있음을알았습니다. 이제곧리턴어드레스를원하는값으로변경하는실습을해볼것인데요, 그전에앞서, 메모리에저장된값들을살펴보는방법에대해배워보겠습
앞서우리는버퍼오버플로우로인해리턴어드레스 (return address) 가변조될수있음을알았습니다. 이제곧리턴어드레스를원하는값으로변경하는실습을해볼것인데요, 그전에앞서, 메모리에저장된값들을살펴보는방법에대해배워보겠습니다. 여러분모두 Windows 에서 hex editor(hex dump, hex viewer) 라는것을사용해보셨을겁니다. 바로바이너리파일을 16 진수
More informationPowerPoint Presentation
오에스아이소프트코리아세미나세미나 2012 Copyright Copyright 2012 OSIsoft, 2012 OSIsoft, LLC. LLC. PI Coresight and Mobility Presented by Daniel Kim REGIONAL 세미나 SEMINAR 세미나 2012 2012 2 Copyright Copyright 2012 OSIsoft,
More informationexample code are examined in this stage The low pressure pressurizer reactor trip module of the Plant Protection System was programmed as subject for
2003 Development of the Software Generation Method using Model Driven Software Engineering Tool,,,,, Hoon-Seon Chang, Jae-Cheon Jung, Jae-Hack Kim Hee-Hwan Han, Do-Yeon Kim, Young-Woo Chang Wang Sik, Moon
More information접근제어 시간은 없고, IT투자 비용이 정해져 있다면, 조금 더 스마트하게 제어하는 방법을 모색해야 한다. 그 중 하나 로 상황별 맞춤 보안 정책(Contextual security) 을 제 안한다. 상황별 맞춤 보안은 민감한 데이터와 그렇지 않은 것을 구분한 후 민감
상황별 맞춤형 보안 정책 지능형 위협 차단과 서비스 지속성 사용성 보장해야 기업 담당자는 어떻게 효과적으로 보안 정책을 제공할 수 있을까? 시간은 없고, IT투자 비용이 정해져 있다면 보다 스마트하게 제 어하는 방법을 모색해야만 한다. 그 대안으로 상황별 맞춤 보안 정책(Contextual security) 이 제안된다. 상황별 맞춤 보안은 민감 한 데이터와
More information<303833315FC1A4BAB8B9FDC7D02031362D325FC3D6C1BEBABB2E687770>
개인정보보호법의 보호원칙에 대한 벌칙조항 연구 A Legal Study of Punishments in Terms of Principles of Private Informaion Protection Law 전동진(Jeon, Dong-Jin)*19) 정진홍(Jeong, Jin-Hong)**20) 목 차 Ⅰ. 들어가는 말 Ⅱ. OECD 개인정보 보호원칙과의 비교
More information목차 제1장개요 1. IoT 보안시험 인증절차 IoT 보안시험 인증기준구성... 7 제2장제출물검토기준 1. 보안요구사항준수명세서 (Security Requirement Specification) 제품사용설명서 (Manual)
KISA 안내 해설 KISA-GD-2017-0020 사물인터넷 (IoT) 보안 시험 인증기준해설서 LITE 2017. 12 목차 제1장개요 1. IoT 보안시험 인증절차... 6 2. IoT 보안시험 인증기준구성... 7 제2장제출물검토기준 1. 보안요구사항준수명세서 (Security Requirement Specification)... 10 2. 제품사용설명서
More information