본문 바로가기

로그 저장소 :)/보안.Security

SQL Injection 1. SQL Injection(normally)SQL Injection은 홈페이지 DB에 특수문자('[싱글쿼터])나 Union, Select 등의 문자를 필터링하지 않아, 조작된 SQL Query가 서버로 전송되어 DB의 정보를 획득, 수정, 삭제 등의 명령 실행이 가능한 공격 기법이다. 또한, xp_cmdshell과 같은 System Stored Procedures를 통해 시스템의 권한 획득이 가능하다.예>GET/bbs/list.php?board_seq=2&sSearchString=&sSearchMethod=title_n' and 'x'='y HTTP/1.1Host: test-domain.com Accept: */* 2. TRUE OR FALSE Blind SQL Injection공격자의 입력값에 따라.. 더보기
IT아웃소싱과 보안 IT 아웃소싱과 보안 1. 정의 : 외부를 뜻하는 'Out'과 자원활용을 뜻하는 'Sourcing'의 합성어로서 조직 외부의 자원을 활용2. 유형 (1) : 개발 : 시스템개발, 구축 등 IT구축업무를 일정기간 내에 수행하는 경우 (2) : 운영 : 지속적이며 반복적으로 수행되는 IT운영업무를 수행하는 경우 IT아웃소싱 보안사고 발생 근본원인- 위탁사업 담당자와 보안담당관이 같음- 문서위주의 보안대책 업무 수행- 보호구역, 비공개 정보에 대한 물리적관리 소홀(허술)- 위탁업체 PC 및 유지보수용 노트북 해킹, 조직의 정보시스템 계정 및 비밀번호 절취 후 내부침투(파괴)- 위탁업체 직원이 이동식 저장매체에 업무의 중요한 자료 저장 및 무단 반출- 무분별한인터넷 사용으로인한 악성코드 감염, 내부자료 유출 보.. 더보기
[2013.10.24] 전사적 산업정보 보안관리 3일차 전문보는방법 부정경쟁방지 및 영업비밀보호에 관한 법률(특허청) 우리나라는 독과점 인정안함, 자율경쟁 ex) 마티즈, 새우깡, 진로소주, 초코파이 등 제 1조는 목적 제 2조는 정의, 읽을 수 있도록 용어정리 제 3~9조는 상표판매자에 직접 관련된 사람들을 보호하고자 하는 내용 제 13조 선의자에 관한 특례 - 체인점 등 로열티를 정당하게 구매하여 사용하는 경우 제 19조 양벌규정 - 상관도 동시에 처벌 But Due care(직무상 주의), Due dilligence(직무상성실, 선관의 의무) 적용 산업기술의 유출방지 및 보호에 관한 법률(산업통상자원부) 눈에 보이는 것 = Goods (제품) 눈에 보이지 않는 것 = Service (용역) => ~망법, 개인정보법은 숙지해야 보안할 때 상당히 좋음 영업.. 더보기
[2013.10.24] 전사적 산업정보 보안관리 2일차 정보보안 관리(Information Security Management) RFC(Request For Comments) - 비평을 기다리는 문서라는 의미 [대표적인 RFC] RFC 2401 : Security Architecture for the Internet Protocol RFC 1320 : THE MD5 Message - Digest Algorithm RFC 2196 : Site Security Handbook RFC 1087 : Ethics & Internet 무결성의 3가지 목표(Goals) (1) 비인가자에 의한 비 인가수정으로부터 데이터 보호 (2) 인가된자에 의한 비 인가수정으로부터 데이터를 보호 (3) 데이터는 내, 외부적으로 일관성이 유지되어야 함 Trust Models?! [국내법].. 더보기
[2013.10.23] 전사적 산업정보 보안관리 1일차 [부정의 종류] Blue color crime : 폭행 White color crime : 죄의식이 없음, 자기 합리화 ex) 회사에서 커피, A4용지 가져오기 [회사에서 부정이 많은 부서] 1. 현금 다루는 부서 - 재경, 회계 2. 구매부서 - 리베이트 3. HR 인사부서 - 채용 등 1. reference check : 신원체크 2. escort : 외부직원 에스코트(서버설치 등) - USB못가져오게 할것, 가져오면 미리 확인(바이러스 체크 등) 3. e-mail : 첨부파일 실행 4. 임계치 : log, packet [지식정보 모델] *특허 : 비즈니스모델, 알고리즘 --> 향후 20년 독점(보호), 20년 후 공개 *저작권 : 표현, 70년 보호 ex>도서 영화 *영업비밀 : ⓐ비밀성, ⓑ가치,.. 더보기
보안 인식 교육 실패의 일곱 가지 이유 충분히 효과를 볼 수 있는 방법이 있음에도 불구하고, 대부분 보안 인식 교육 프로그램에는 수많은 문제점이 있다. 다음의 일곱 가지 실수만 줄여도 매우 효율적인 프로그램 진행이 가능하다. 보안 인식 분야에는 이분법적 사고가 존재한다. 우리와 이야기를 나눈 대부분 CSO들은 자신의 우선 순위로 회사의 보안 문화 개선을 꼽았다. 즉, 사용자의 행동을 바꿔야 한다는 데 동의한 것이다. 마찬가지로, 하루가 멀다 하고 각종 기사와 연구 결과에서는 개인의 실수가 해커의 제1 공격 영역임을 지적한다. 일부 연구에서는 전체 해킹 공격의 90% 가까이가 개인의 부주의 때문이라고도 지적하기도 했다. 레이어 8의 보안이나 이를 대상으로 한 공격에 대한 전문용어도 생겨났다. 그러나 한편으로는 보안 인식의 가치를 쉽게 절하하는 .. 더보기
기업 관리자를 위한 보안 체크 리스트 1. 중요 서버의 데이터에 대해 정기적인 백업시스템을 갖추시기 바랍니다.2. 모든 클라이언트 시스템에 백신 프로그램을 설치해야 합니다.3. 파일서버, 메일서버, 그룹웨어 서버에도 모두 백신 프로그램을 설치하여 관리해야 합니다.4. 설치된 백신 프로그램에 대해 모두 최소 1주일에 한 번 이상 정기적으로 엔진 업데이트를 해주시기 바랍니다.5. 사내 악성 프로그램 유입 및 전파시 신속한 감염 시스템 파악을 위해 시스템에 고정 IP를 부여하여 관리하시기 바랍니다.6. 방화벽 설정을 통해 불필요한 포트는 모두 막아두십시오.7. 사내 보안지침 문서를 구비하시기 바랍니다.8. 사내 보안지침을 위반하여 회사에 피해를 입혔을 경우에 대한 인사조치 사항 등을 사내 보안지침 문서에 명기하시기를 권장합니다.9. 전 직원을 대.. 더보기
어떻게 자신과 회사를 보호할 수 있을까? 평상시 보안행동 수칙 [지켜야 할 것]1. 빈 손으로 출근, 빈 손으로 퇴근한다.2. 불요불급하지 않는 문서는 복사하지 않는다.3. 비밀이 포함된 문서나 자료 또는 폐지, 휴지는 반드시 폐기하며, 단 한장이라도 함부로 버리지 않는다.4. 입 조심하기를 마치 병마개 같이 하여 “말로만의 보안”을 강조하거나, “너만 알고 있어”라며 비밀을 흘리지 않는다.5. 작은 정보라도 경쟁사에 큰 도움이 될 수 있다는 것을 명심한다.6. 업무수행관련 지식이나 노하우는 문서화하여 지적자산으로 등록 후 활용한다.7. 통제구역은 알 필요도 없고 갈 필요도 없으며 무단출입하지 않는다.8. 3內 의 원칙을 항상 지키며 비밀자료가 보관된 문서함을 반드시 잠근다.9. 비밀유출의 주된 경로는 항상 내부에 있음을 명심하자.10. 퇴근 .. 더보기

티스토리툴바