Chanjin Park, profile picture
Uploaded byChanjin Park
PDF, PPTX846 views

2015.8.12 웹 보안 이슈와 보안 공학의 중요성

Security Issues & The Importance of Engineering

Embed presentation

Download as PDF, PPTX
웹 보안 이슈와 보안 공학의 중요성 IT보안전문가 과정 Preview 특강 2015년 8월 12일 차세대융합기술원 박찬진
2104 SOFTWARE 취약점 2 Heartbleed Shellshock 2014년 4월 발생 OpenSSL 1.0.1 2014년 11월 발생 bash 셀 2015년 인터넷 보안 위협 보고서, 제20호, Symantec
HEARTBLEED 3 http://xkcd.com/1354/ 타입과 Payload (길이) 값을 읽음 Payload 만큼의 메모리를 할당 (alloc) 데이터를 리턴할 포인터에 복사 (memcpy) hbtype = *p++; n2s(p, payload); if (1 + 2 + payload + 16 > s->s3->rrec.length) return 0; /* silently discard per RFC 6520 sec. 4 */ hbtype = *p++; n2s(p, payload); pl = p; Payload의 실제 데이터 길이보다 Payload 값이 크면 안됨
SHELLSHOCK 4 () {:;}; /bin/cat /etc/passwd http://blog.panorama9.com/hit-by-shellshock-now-what/ (){ : ; }; do_evil() env x="() { :;}; echo vulnerable" bash -c "echo this is a test" curl -H "User-Agent: () { :; }; /bin/eject" http://example.com/
전통적인 WEB APP 보안 취약점 5 이름 암호 SQL Injection $result = mysql_query(“select * from Users where (name = ‘$user’ and password = ‘$pass')”); frank’ OR 1 = 1); - - frank’ OR 1 = 1); DROP TABLE Users; - - name password email address frank dafjdlka* frank@aa.com tom fdjakjfal01 tom@aa.com alice a90fdakjl alice@aa.com Browser Web Server Database Session Hijacking Cross-site Request Forgery (CSRF) Cross-site Scripting (XSS)
지속적인 보안 취약점 6 Adobe Flash Player Adobe Flash use-after-free and memory corruption vulnerabilities (CVE-2015-5119, CVE-2015-5122, CVE-2015-5123) 2015년 7월 Published • 5억개 이상의 기기에 설치 • 2만개 이상의 앱이 플래시 기술을 사용 • 페이스북 게임 Top 25개 중 24개가 플래시 기술을 사용 • 3백만 이상의 개발자 왜 플래시에 이런 취약점이 계속 발견되고 공격의 대상이 되는가? HTML5 Canvas
보안 공학 필요성 기능 개발 후에 보안성 검토? => 응용 개발 전 과정에서 보안 활동 7 요구사항 설계 구현 테스팅 프로젝트 기획 릴리스/배포 유지보수 보안 목표 수립 보안 설계 가이드라인 위협(Threat) 모델링 아키텍처 및 설계 보안성 리뷰 코드 보안성 리뷰 보안 테스팅 배포시 보안 리뷰 보안 요구사항 아키텍처 리스크 분석 보안 중심 설계 리스크 기반 보안 테스팅 Penetration Testing Abuse Cases 코드 리뷰 (Static Analyzer)
UNIT TESTING, 코드 리뷰 8 Unit Testing (Code Coverage) APPLE revealed and fixed a Secure Sockets Layer (SSL) vulnerability that had gone undiscovered since the release of iOS 6.0 in September 2012 (2014.2) • SSL/TLS 알고리즘 구현 시, 보안 연결을 위한 Handshaking의 마지막 스텝 을 건너 뛰도록 함 • TLS 서버 키 교환 메시지 체크 과정을 누락 (임의의 Private 키로 연결 가능) • 중복 goto 문이 6번이나 사용됨 (Copy & Paste) Static Analyzer (Unreachable code detection) Code Review & Code Refactoring to make the algorithm testable AppleSSL Volnerability
소프트웨어에서의 개인 정보 관리 9 TV 음성처리 서버 Voice Channel Up Movie Recommendation "사용자가 나눈 개인적이거나 민감한 내용의 대화가 데이터로 저장된 뒤 제3자에게 전달될 수 있으니 주의하십시오" 2012년 스마트 TV, 음성인식 정보 암호화 처리 안 해 논란 Abuse Requirement Threat Modeling 구현오류가 아니라, 요구사항 및 위협 모델링의 부실, 정보 3자 제공에 대한 인지 부족 네트워크를 통한 민감 데이터 유출을 사전에 정의 Test Case 개발

More Related Content

PPTX
Coding Conventions & Secure Coding
byDonghyun Seo
 
PDF
16.02.27 해킹캠프 오픈_소스_최우석_ver0.3
byKISEC
 
PPTX
DevSecOps 그리고 협업 - GitLab
byGuenjun Yoo
 
PDF
16.02.27 해킹캠프 오픈 소스 최우석
byKISEC
 
PDF
Swift package manager
by성관 윤
 
PPTX
SOSCON2015 Robot Framework
bySung Hoon Moon
 
PDF
Home Declutter Kit
byHelen Sanderson
 
RTF
16. the relative factor
byJoel Brooks
 
Coding Conventions & Secure Coding
byDonghyun Seo
 
16.02.27 해킹캠프 오픈_소스_최우석_ver0.3
byKISEC
 
DevSecOps 그리고 협업 - GitLab
byGuenjun Yoo
 
16.02.27 해킹캠프 오픈 소스 최우석
byKISEC
 
Swift package manager
by성관 윤
 
SOSCON2015 Robot Framework
bySung Hoon Moon
 
Home Declutter Kit
byHelen Sanderson
 
16. the relative factor
byJoel Brooks
 

Viewers also liked

PPSX
0. Part 00 EE, Extreme engineering. 2010.02.15 - part 2 slide show
byTomasz Najder
 
PDF
CV Tomasz Najder Part 1 2009.09.15 2016
byTomasz Najder
 
PPTX
Presentación1
byLesli Jeniffer Diaz Araiza
 
PDF
REU Summer 2004
byRob Morien
 
PDF
Certificate_C-7FV9JKECYU
byIbtida Amirul Mukminin
 
PPTX
Presentacion_Laura_Noguera
byLauraviviananoguera
 
PDF
Relatório Fausto Pinato
byFolha de Pernambuco
 
PDF
Документирование Проекта Cавин Анатолий
byIgor Byvaltsev
 
PPTX
Motivar - Luciano Aba
bypmotivar
 
PDF
임베디드 소프트웨어 개발에 아키텍처 프랙티스 도입
byChanjin Park
 
PDF
융합연구포럼 2015.02 big data - engineering & convergence.
byChanjin Park
 
PDF
Светлана Добросолец. ГМЗ "Петергоф"
byПрограмма "Целевые капиталы" Форума Доноров
 
PDF
KCSE 2015 Tutorial 빅데이터 분석 기술의 소프트웨어 공학 분야 활용 (...
byChanjin Park
 
PDF
Transformers
byYassine Zahraoui
 
PPT
Familia romana
byNegrevernis Negrevernis
 
PDF
STPP paper (2005)
byJorge Luis McGregor Arnao
 
PDF
Test driven development - JUnit basics and best practices
byNarendra Pathai
 
PDF
Oxigenoterapia Hiperbárica
byReinaldo Cortez De La Fuente
 
DOC
Gabarito sondagem geografia
byAtividades Diversas Cláudia
 
PPT
MALAD
byNigel Nambiar
 
0. Part 00 EE, Extreme engineering. 2010.02.15 - part 2 slide show
byTomasz Najder
 
CV Tomasz Najder Part 1 2009.09.15 2016
byTomasz Najder
 
Presentación1
byLesli Jeniffer Diaz Araiza
 
REU Summer 2004
byRob Morien
 
Certificate_C-7FV9JKECYU
byIbtida Amirul Mukminin
 
Presentacion_Laura_Noguera
byLauraviviananoguera
 
Relatório Fausto Pinato
byFolha de Pernambuco
 
Документирование Проекта Cавин Анатолий
byIgor Byvaltsev
 
Motivar - Luciano Aba
bypmotivar
 
임베디드 소프트웨어 개발에 아키텍처 프랙티스 도입
byChanjin Park
 
융합연구포럼 2015.02 big data - engineering & convergence.
byChanjin Park
 
Светлана Добросолец. ГМЗ "Петергоф"
byПрограмма "Целевые капиталы" Форума Доноров
 
KCSE 2015 Tutorial 빅데이터 분석 기술의 소프트웨어 공학 분야 활용 (...
byChanjin Park
 
Transformers
byYassine Zahraoui
 
Familia romana
byNegrevernis Negrevernis
 
STPP paper (2005)
byJorge Luis McGregor Arnao
 
Test driven development - JUnit basics and best practices
byNarendra Pathai
 
Oxigenoterapia Hiperbárica
byReinaldo Cortez De La Fuente
 
Gabarito sondagem geografia
byAtividades Diversas Cláudia
 
MALAD
byNigel Nambiar
 

Similar to 2015.8.12 웹 보안 이슈와 보안 공학의 중요성

PDF
2015 1 q ibm x force-보고서
byArumIm
 
PDF
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
byChangKyu Song
 
PDF
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
byCode Engn
 
PDF
2011년 보안 이슈와 2012년 보안 위협 예측
byYoungjun Chang
 
PPTX
[Devfest Campus Korea 2021]보안과 함께 하는 개발, 시큐어코딩
byGDGCampusKorea
 
PDF
포티파이 안전한 애플리케이션 구축 및 운영방안
byTJ Seo
 
PDF
IBM 보안솔루션 앱스캔_AppScan Standard 소개
by은옥 조
 
PDF
HTML5_security_(next_generation_threats)
by한익 주
 
PDF
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
byCode Engn
 
PDF
가장 심각한 웹 애플리케이션 보안 위험 10가지-2013
by봉조 김
 
PDF
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
byOracle Korea
 
PDF
보안 Vs 성능
byDong-Jin Park
 
PDF
Openbanking system of Kookminbank in Korea
byEun Jeong Kang
 
PDF
(OkdevTV) 2024년 10월 30일 개발 이야기
byJay Park
 
PDF
(독서광) 2024년 12월 모두를 위한 소프트웨어 보안 설계와 구현
byJay Park
 
PDF
[이찬우 강사] bithumb_Privacy_Lecture(2021.12)
byLee Chanwoo
 
PPT
OWASP TOP 10 in 2007
bySamsung Electronics
 
PPTX
개인-분산형 인증 기술과 결제-5-18
byJedi Kim
 
PDF
사이버 보안의 이해 Intro to korean cyber security
byBill Hagestad II
 
PDF
정보보호최근이슈및패러다임의변화 임종인(고려대)
byKyuhyung Cho
 
2015 1 q ibm x force-보고서
byArumIm
 
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
byChangKyu Song
 
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
byCode Engn
 
2011년 보안 이슈와 2012년 보안 위협 예측
byYoungjun Chang
 
[Devfest Campus Korea 2021]보안과 함께 하는 개발, 시큐어코딩
byGDGCampusKorea
 
포티파이 안전한 애플리케이션 구축 및 운영방안
byTJ Seo
 
IBM 보안솔루션 앱스캔_AppScan Standard 소개
by은옥 조
 
HTML5_security_(next_generation_threats)
by한익 주
 
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
byCode Engn
 
가장 심각한 웹 애플리케이션 보안 위험 10가지-2013
by봉조 김
 
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
byOracle Korea
 
보안 Vs 성능
byDong-Jin Park
 
Openbanking system of Kookminbank in Korea
byEun Jeong Kang
 
(OkdevTV) 2024년 10월 30일 개발 이야기
byJay Park
 
(독서광) 2024년 12월 모두를 위한 소프트웨어 보안 설계와 구현
byJay Park
 
[이찬우 강사] bithumb_Privacy_Lecture(2021.12)
byLee Chanwoo
 
OWASP TOP 10 in 2007
bySamsung Electronics
 
개인-분산형 인증 기술과 결제-5-18
byJedi Kim
 
사이버 보안의 이해 Intro to korean cyber security
byBill Hagestad II
 
정보보호최근이슈및패러다임의변화 임종인(고려대)
byKyuhyung Cho
 

2015.8.12 웹 보안 이슈와 보안 공학의 중요성

  • 1.
    웹 보안 이슈와보안 공학의 중요성 IT보안전문가 과정 Preview 특강 2015년 8월 12일 차세대융합기술원 박찬진
  • 2.
    2104 SOFTWARE 취약점 2 HeartbleedShellshock 2014년 4월 발생 OpenSSL 1.0.1 2014년 11월 발생 bash 셀 2015년 인터넷 보안 위협 보고서, 제20호, Symantec
  • 3.
    HEARTBLEED 3 http://xkcd.com/1354/ 타입과 Payload (길이)값을 읽음 Payload 만큼의 메모리를 할당 (alloc) 데이터를 리턴할 포인터에 복사 (memcpy) hbtype = *p++; n2s(p, payload); if (1 + 2 + payload + 16 > s->s3->rrec.length) return 0; /* silently discard per RFC 6520 sec. 4 */ hbtype = *p++; n2s(p, payload); pl = p; Payload의 실제 데이터 길이보다 Payload 값이 크면 안됨
  • 4.
    SHELLSHOCK 4 () {:;}; /bin/cat/etc/passwd http://blog.panorama9.com/hit-by-shellshock-now-what/ (){ : ; }; do_evil() env x="() { :;}; echo vulnerable" bash -c "echo this is a test" curl -H "User-Agent: () { :; }; /bin/eject" http://example.com/
  • 5.
    전통적인 WEB APP보안 취약점 5 이름 암호 SQL Injection $result = mysql_query(“select * from Users where (name = ‘$user’ and password = ‘$pass')”); frank’ OR 1 = 1); - - frank’ OR 1 = 1); DROP TABLE Users; - - name password email address frank dafjdlka* frank@aa.com tom fdjakjfal01 tom@aa.com alice a90fdakjl alice@aa.com Browser Web Server Database Session Hijacking Cross-site Request Forgery (CSRF) Cross-site Scripting (XSS)
  • 6.
    지속적인 보안 취약점 6 AdobeFlash Player Adobe Flash use-after-free and memory corruption vulnerabilities (CVE-2015-5119, CVE-2015-5122, CVE-2015-5123) 2015년 7월 Published • 5억개 이상의 기기에 설치 • 2만개 이상의 앱이 플래시 기술을 사용 • 페이스북 게임 Top 25개 중 24개가 플래시 기술을 사용 • 3백만 이상의 개발자 왜 플래시에 이런 취약점이 계속 발견되고 공격의 대상이 되는가? HTML5 Canvas
  • 7.
    보안 공학 필요성 기능개발 후에 보안성 검토? => 응용 개발 전 과정에서 보안 활동 7 요구사항 설계 구현 테스팅 프로젝트 기획 릴리스/배포 유지보수 보안 목표 수립 보안 설계 가이드라인 위협(Threat) 모델링 아키텍처 및 설계 보안성 리뷰 코드 보안성 리뷰 보안 테스팅 배포시 보안 리뷰 보안 요구사항 아키텍처 리스크 분석 보안 중심 설계 리스크 기반 보안 테스팅 Penetration Testing Abuse Cases 코드 리뷰 (Static Analyzer)
  • 8.
    UNIT TESTING, 코드리뷰 8 Unit Testing (Code Coverage) APPLE revealed and fixed a Secure Sockets Layer (SSL) vulnerability that had gone undiscovered since the release of iOS 6.0 in September 2012 (2014.2) • SSL/TLS 알고리즘 구현 시, 보안 연결을 위한 Handshaking의 마지막 스텝 을 건너 뛰도록 함 • TLS 서버 키 교환 메시지 체크 과정을 누락 (임의의 Private 키로 연결 가능) • 중복 goto 문이 6번이나 사용됨 (Copy & Paste) Static Analyzer (Unreachable code detection) Code Review & Code Refactoring to make the algorithm testable AppleSSL Volnerability
  • 9.
    소프트웨어에서의 개인 정보관리 9 TV 음성처리 서버 Voice Channel Up Movie Recommendation "사용자가 나눈 개인적이거나 민감한 내용의 대화가 데이터로 저장된 뒤 제3자에게 전달될 수 있으니 주의하십시오" 2012년 스마트 TV, 음성인식 정보 암호화 처리 안 해 논란 Abuse Requirement Threat Modeling 구현오류가 아니라, 요구사항 및 위협 모델링의 부실, 정보 3자 제공에 대한 인지 부족 네트워크를 통한 민감 데이터 유출을 사전에 정의 Test Case 개발