SlideShare a Scribd company logo

Softcon hack your_service

Download as PPTX, PDF
H
HeoGyu

해킹 사례로 보는 보안의 중요성

Software
1 of 35
Infra Policy Analysis Development Software/Service 취약점 분석 사고분석 및 대응 디지털 포렌식 악성코드 분석 데이터 분석 (BIG DATA)
 점검한 소프트웨어와 애플리케이션의 76%가 디자인과 실행에 심각한 결함을 가지고 있었다. Foundstone(미국 보안 컨설팅 회사) 조사  미국 경제에 600억 달러의 손실이 조잡한 소프트웨어의 품질로 인해 발생하고 있다. 미국 상무부 (US Department of Commerce)  제품 단계에서 버그를 수정하는 것은 디자인 단계에서 수정하는 것보다 100x100배의 비용이 소비된 다. IBM System Sciences Institute  애플리케이션 코드 1,000 라인에는 평균 15개의 보안 취약점이 존재한다. 미국 국방성 자료  1개의 취약점을 추적하는데 평균 75분이 소요되며, 이를 해결하는데 2시간 내지 9시간이 소요 미국 국방성 5년간 연구 자료
* 출처:OWASP 2013 TOP 10 번역 문서
http://www.naver.com/search.php?date=20151121 http://www.naver.com/search.php?date=20151121’><script>alert(1)</script * 즉 사용자가 입력한 값을 아무런 필터 처리를 하지 않고, 그대로 응답에 포함시켜 발생 <?php $date = $_GET[‘date’]; echo “<a href=‘http://xxx.com/$date’>GO!</a>” ?> <a href=‘http://xxx.com/20151121’>GO!</a> <a href=‘http://xxx.com/20151121’><script>alert(1)</script>’>GO!</a>
<script>document.onkeypress = function(){ window.status += String.fromCharCode(window.event.keycode); } </script> <script> alert(window.clipboardData.getData(‘Text’)); </script>
http://band.us/#!/57513443 http://band.us/124125”><script>alert(‘hi’)</script
http://beefproject.com
http://www.naver.com/search.php?date=20151121’><script>alert(1)</script <?php $date = htmlspecialchars($_GET[‘date’]); echo “<a href=‘http://xxx.com/$date’>GO!</a>” ?> <a href=‘http://xxx.com/20151121&#39&gt;&lt;script&gt;alert(1)&lt;/script&gt;’>GO!</a>
AndroidManifest.xml // 문자 메시지 수신 확인 <uses-permission android:name="android.permission.RECEIVE_SMS" /> <uses-permission android:name="android.permission.RECEIVE_MMS" /> // 문자 메시지 읽기 <uses-permission android:name="android.permission.READ_SMS" /> // 전화기 상태 확인, 부팅완료되면 자동 실행 <uses-permission android:name="android.permission.READ_PHONE_STATE" /> <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" /> // 서버에서 보내는 푸쉬메시지 수신 <permission android:name="com.googleprojects.mmsp.permission.C2D_MESSAGE" android:protectionLevel="signature" /> <uses-permission android:name="com.googleprojects.mmsp.permission.C2D_MESSAGE" /> <uses-permission android:name="com.google.android.c2dm.permission.RECEIVE" /> // 인터넷 접속 - 네트워크 접속을 통한 정보 전송이 예상됨 <uses-permission android:name="android.permission.INTERNET" /> <uses-permission android:name="android.permission.ACCESS_WIFI_STATE" /> <uses-permission android:name="android.permission.CHANGE_WIFI_STATE" />
AndroidManifest.xml // Device Administration API 는 system 레벨에서의 기기 관리 <receiver android:label="google_service_admin" android:name="com.googleprojects.mm.DevAdReceiver" android:permission="android.permission.BIND_SERVICE_ADMIN"> <meta-data android:name="android.app.device_admin" android:resource="@xml/lock_screen" /> <intent-filter> <action android:name="android.app.action.DEVICE_ADMIN_ENABLED" /> </intent-filter> </receiver> lock_screen.xml // 화면을 잠기는 방법과 시기를 제어할 수 있는 기능 설정 <?xml version="1.0" encoding="utf-8"?> <device-admin xmlns:android="http://schemas.android.com/apk/res/android"> <uses-policies> <force-lock /> </uses-policies> </device-admin>
http://www.securitya.kr/eduwiz/bb/bbs/board.php?bo_table=c403&wr_id=12
Softcon hack your_service

Recommended

Cybereason in Korea, SMEC
Cybereason in Korea, SMECCybereason in Korea, SMEC
Cybereason in Korea, SMEC
SMEC Co.,Ltd.
 
Cybereason v2.10
Cybereason v2.10Cybereason v2.10
Cybereason v2.10
Harry Sohn
 
[4th revolution] 모바일보안 실습환경 구축편(setting the moblie security environment tutor...
[4th revolution] 모바일보안 실습환경 구축편(setting the moblie security environment tutor...[4th revolution] 모바일보안 실습환경 구축편(setting the moblie security environment tutor...
[4th revolution] 모바일보안 실습환경 구축편(setting the moblie security environment tutor...
james yoo
 
[4th revolution] new technology security education material] android security...
[4th revolution] new technology security education material] android security...[4th revolution] new technology security education material] android security...
[4th revolution] new technology security education material] android security...
james yoo
 
Threat management, Ex-Scan
Threat management, Ex-ScanThreat management, Ex-Scan
Threat management, Ex-Scan
Softcamp Co., Ltd.
 
OpenStack!
OpenStack!OpenStack!
OpenStack!
철민 홍
 
경희대학교 Softcon 발표자료(2015/11/21)
경희대학교 Softcon 발표자료(2015/11/21)경희대학교 Softcon 발표자료(2015/11/21)
경희대학교 Softcon 발표자료(2015/11/21)
Ahn Kyewan
 
[SoftCon]SDN/IoT 그리고 Testbed
[SoftCon]SDN/IoT 그리고 Testbed[SoftCon]SDN/IoT 그리고 Testbed
[SoftCon]SDN/IoT 그리고 Testbed
sangyun han
 

Recommended

Cybereason in Korea, SMEC
Cybereason in Korea, SMECCybereason in Korea, SMEC
Cybereason in Korea, SMEC
SMEC Co.,Ltd.
 
Cybereason v2.10
Cybereason v2.10Cybereason v2.10
Cybereason v2.10
Harry Sohn
 
[4th revolution] 모바일보안 실습환경 구축편(setting the moblie security environment tutor...
[4th revolution] 모바일보안 실습환경 구축편(setting the moblie security environment tutor...[4th revolution] 모바일보안 실습환경 구축편(setting the moblie security environment tutor...
[4th revolution] 모바일보안 실습환경 구축편(setting the moblie security environment tutor...
james yoo
 
[4th revolution] new technology security education material] android security...
[4th revolution] new technology security education material] android security...[4th revolution] new technology security education material] android security...
[4th revolution] new technology security education material] android security...
james yoo
 
Threat management, Ex-Scan
Threat management, Ex-ScanThreat management, Ex-Scan
Threat management, Ex-Scan
Softcamp Co., Ltd.
 
OpenStack!
OpenStack!OpenStack!
OpenStack!
철민 홍
 
경희대학교 Softcon 발표자료(2015/11/21)
경희대학교 Softcon 발표자료(2015/11/21)경희대학교 Softcon 발표자료(2015/11/21)
경희대학교 Softcon 발표자료(2015/11/21)
Ahn Kyewan
 
[SoftCon]SDN/IoT 그리고 Testbed
[SoftCon]SDN/IoT 그리고 Testbed[SoftCon]SDN/IoT 그리고 Testbed
[SoftCon]SDN/IoT 그리고 Testbed
sangyun han
 
Dropbox와 같은 시스템은 파일을 어떻게 저장할까?
Dropbox와 같은 시스템은 파일을 어떻게 저장할까?Dropbox와 같은 시스템은 파일을 어떻게 저장할까?
Dropbox와 같은 시스템은 파일을 어떻게 저장할까?
nexusz99
 
2015 한양대학교 프로그래밍 경시대회 - advanced division
2015 한양대학교 프로그래밍 경시대회 - advanced division2015 한양대학교 프로그래밍 경시대회 - advanced division
2015 한양대학교 프로그래밍 경시대회 - advanced division
NAVER D2
 
2015 한양대학교 프로그래밍 경시대회 - beginner division
2015 한양대학교 프로그래밍 경시대회 - beginner division2015 한양대학교 프로그래밍 경시대회 - beginner division
2015 한양대학교 프로그래밍 경시대회 - beginner division
NAVER D2
 
스타트업 & 벤처기업
스타트업 & 벤처기업스타트업 & 벤처기업
스타트업 & 벤처기업
hemarkum
 
쏙 알고스터디 01
쏙 알고스터디 01쏙 알고스터디 01
쏙 알고스터디 01
Jisu Lee
 
The platform 2011
The platform 2011The platform 2011
The platform 2011
NAVER D2
 
[D2 오픈세미나]2.모바일웹디버깅
[D2 오픈세미나]2.모바일웹디버깅[D2 오픈세미나]2.모바일웹디버깅
[D2 오픈세미나]2.모바일웹디버깅
NAVER D2
 
[D2 오픈세미나]1.무한스크롤성능개선
[D2 오픈세미나]1.무한스크롤성능개선[D2 오픈세미나]1.무한스크롤성능개선
[D2 오픈세미나]1.무한스크롤성능개선
NAVER D2
 
성준영 소프트콘 발표
성준영 소프트콘 발표성준영 소프트콘 발표
성준영 소프트콘 발표
Junyoung Sung
 
집단 지성 (Programming collective intelligence) 스터디: Chapter 4 - Searching & Ranking
집단 지성 (Programming collective intelligence) 스터디: Chapter 4 - Searching & Ranking집단 지성 (Programming collective intelligence) 스터디: Chapter 4 - Searching & Ranking
집단 지성 (Programming collective intelligence) 스터디: Chapter 4 - Searching & Ranking
Ian Choi
 
[D2 오픈세미나]5.robolectric 안드로이드 테스팅
[D2 오픈세미나]5.robolectric 안드로이드 테스팅[D2 오픈세미나]5.robolectric 안드로이드 테스팅
[D2 오픈세미나]5.robolectric 안드로이드 테스팅
NAVER D2
 
[D2대학생세미나]산넘어 산, 음원서비스 세이렌 개발기
[D2대학생세미나]산넘어 산, 음원서비스 세이렌 개발기[D2대학생세미나]산넘어 산, 음원서비스 세이렌 개발기
[D2대학생세미나]산넘어 산, 음원서비스 세이렌 개발기
NAVER D2
 
[D2 오픈세미나]2.browser engine 이형욱_20140523
[D2 오픈세미나]2.browser engine 이형욱_20140523[D2 오픈세미나]2.browser engine 이형욱_20140523
[D2 오픈세미나]2.browser engine 이형욱_20140523NAVER D2
 
[Hello world]nodejs helloworld chaesuwon
[Hello world]nodejs helloworld chaesuwon[Hello world]nodejs helloworld chaesuwon
[Hello world]nodejs helloworld chaesuwonNAVER D2
 
세미나
세미나세미나
세미나
Dongyi Kim
 
[Hello world]git internal
[Hello world]git internal[Hello world]git internal
[Hello world]git internalNAVER D2
 
[D2 오픈세미나]3.web view hybridapp
[D2 오픈세미나]3.web view hybridapp[D2 오픈세미나]3.web view hybridapp
[D2 오픈세미나]3.web view hybridapp
NAVER D2
 
[D2 오픈세미나]4.네이티브앱저장통신
[D2 오픈세미나]4.네이티브앱저장통신[D2 오픈세미나]4.네이티브앱저장통신
[D2 오픈세미나]4.네이티브앱저장통신
NAVER D2
 
[Hello world]n forge
[Hello world]n forge[Hello world]n forge
[Hello world]n forgeNAVER D2
 
[Hello world]play framework소개
[Hello world]play framework소개[Hello world]play framework소개
[Hello world]play framework소개NAVER D2
 
포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안
TJ Seo
 
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개 [Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
Oracle Korea
 

More Related Content

Viewers also liked

Dropbox와 같은 시스템은 파일을 어떻게 저장할까?
Dropbox와 같은 시스템은 파일을 어떻게 저장할까?Dropbox와 같은 시스템은 파일을 어떻게 저장할까?
Dropbox와 같은 시스템은 파일을 어떻게 저장할까?
nexusz99
 
2015 한양대학교 프로그래밍 경시대회 - advanced division
2015 한양대학교 프로그래밍 경시대회 - advanced division2015 한양대학교 프로그래밍 경시대회 - advanced division
2015 한양대학교 프로그래밍 경시대회 - advanced division
NAVER D2
 
2015 한양대학교 프로그래밍 경시대회 - beginner division
2015 한양대학교 프로그래밍 경시대회 - beginner division2015 한양대학교 프로그래밍 경시대회 - beginner division
2015 한양대학교 프로그래밍 경시대회 - beginner division
NAVER D2
 
스타트업 & 벤처기업
스타트업 & 벤처기업스타트업 & 벤처기업
스타트업 & 벤처기업
hemarkum
 
쏙 알고스터디 01
쏙 알고스터디 01쏙 알고스터디 01
쏙 알고스터디 01
Jisu Lee
 
The platform 2011
The platform 2011The platform 2011
The platform 2011
NAVER D2
 
[D2 오픈세미나]2.모바일웹디버깅
[D2 오픈세미나]2.모바일웹디버깅[D2 오픈세미나]2.모바일웹디버깅
[D2 오픈세미나]2.모바일웹디버깅
NAVER D2
 
[D2 오픈세미나]1.무한스크롤성능개선
[D2 오픈세미나]1.무한스크롤성능개선[D2 오픈세미나]1.무한스크롤성능개선
[D2 오픈세미나]1.무한스크롤성능개선
NAVER D2
 
성준영 소프트콘 발표
성준영 소프트콘 발표성준영 소프트콘 발표
성준영 소프트콘 발표
Junyoung Sung
 
집단 지성 (Programming collective intelligence) 스터디: Chapter 4 - Searching & Ranking
집단 지성 (Programming collective intelligence) 스터디: Chapter 4 - Searching & Ranking집단 지성 (Programming collective intelligence) 스터디: Chapter 4 - Searching & Ranking
집단 지성 (Programming collective intelligence) 스터디: Chapter 4 - Searching & Ranking
Ian Choi
 
[D2 오픈세미나]5.robolectric 안드로이드 테스팅
[D2 오픈세미나]5.robolectric 안드로이드 테스팅[D2 오픈세미나]5.robolectric 안드로이드 테스팅
[D2 오픈세미나]5.robolectric 안드로이드 테스팅
NAVER D2
 
[D2대학생세미나]산넘어 산, 음원서비스 세이렌 개발기
[D2대학생세미나]산넘어 산, 음원서비스 세이렌 개발기[D2대학생세미나]산넘어 산, 음원서비스 세이렌 개발기
[D2대학생세미나]산넘어 산, 음원서비스 세이렌 개발기
NAVER D2
 
[D2 오픈세미나]2.browser engine 이형욱_20140523
[D2 오픈세미나]2.browser engine 이형욱_20140523[D2 오픈세미나]2.browser engine 이형욱_20140523
[D2 오픈세미나]2.browser engine 이형욱_20140523NAVER D2
 
[Hello world]nodejs helloworld chaesuwon
[Hello world]nodejs helloworld chaesuwon[Hello world]nodejs helloworld chaesuwon
[Hello world]nodejs helloworld chaesuwonNAVER D2
 
세미나
세미나세미나
세미나
Dongyi Kim
 
[Hello world]git internal
[Hello world]git internal[Hello world]git internal
[Hello world]git internalNAVER D2
 
[D2 오픈세미나]3.web view hybridapp
[D2 오픈세미나]3.web view hybridapp[D2 오픈세미나]3.web view hybridapp
[D2 오픈세미나]3.web view hybridapp
NAVER D2
 
[D2 오픈세미나]4.네이티브앱저장통신
[D2 오픈세미나]4.네이티브앱저장통신[D2 오픈세미나]4.네이티브앱저장통신
[D2 오픈세미나]4.네이티브앱저장통신
NAVER D2
 
[Hello world]n forge
[Hello world]n forge[Hello world]n forge
[Hello world]n forgeNAVER D2
 
[Hello world]play framework소개
[Hello world]play framework소개[Hello world]play framework소개
[Hello world]play framework소개NAVER D2
 

Viewers also liked (20)

Dropbox와 같은 시스템은 파일을 어떻게 저장할까?
Dropbox와 같은 시스템은 파일을 어떻게 저장할까?Dropbox와 같은 시스템은 파일을 어떻게 저장할까?
Dropbox와 같은 시스템은 파일을 어떻게 저장할까?
 
2015 한양대학교 프로그래밍 경시대회 - advanced division
2015 한양대학교 프로그래밍 경시대회 - advanced division2015 한양대학교 프로그래밍 경시대회 - advanced division
2015 한양대학교 프로그래밍 경시대회 - advanced division
 
2015 한양대학교 프로그래밍 경시대회 - beginner division
2015 한양대학교 프로그래밍 경시대회 - beginner division2015 한양대학교 프로그래밍 경시대회 - beginner division
2015 한양대학교 프로그래밍 경시대회 - beginner division
 
스타트업 & 벤처기업
스타트업 & 벤처기업스타트업 & 벤처기업
스타트업 & 벤처기업
 
쏙 알고스터디 01
쏙 알고스터디 01쏙 알고스터디 01
쏙 알고스터디 01
 
The platform 2011
The platform 2011The platform 2011
The platform 2011
 
[D2 오픈세미나]2.모바일웹디버깅
[D2 오픈세미나]2.모바일웹디버깅[D2 오픈세미나]2.모바일웹디버깅
[D2 오픈세미나]2.모바일웹디버깅
 
[D2 오픈세미나]1.무한스크롤성능개선
[D2 오픈세미나]1.무한스크롤성능개선[D2 오픈세미나]1.무한스크롤성능개선
[D2 오픈세미나]1.무한스크롤성능개선
 
성준영 소프트콘 발표
성준영 소프트콘 발표성준영 소프트콘 발표
성준영 소프트콘 발표
 
집단 지성 (Programming collective intelligence) 스터디: Chapter 4 - Searching & Ranking
집단 지성 (Programming collective intelligence) 스터디: Chapter 4 - Searching & Ranking집단 지성 (Programming collective intelligence) 스터디: Chapter 4 - Searching & Ranking
집단 지성 (Programming collective intelligence) 스터디: Chapter 4 - Searching & Ranking
 
[D2 오픈세미나]5.robolectric 안드로이드 테스팅
[D2 오픈세미나]5.robolectric 안드로이드 테스팅[D2 오픈세미나]5.robolectric 안드로이드 테스팅
[D2 오픈세미나]5.robolectric 안드로이드 테스팅
 
[D2대학생세미나]산넘어 산, 음원서비스 세이렌 개발기
[D2대학생세미나]산넘어 산, 음원서비스 세이렌 개발기[D2대학생세미나]산넘어 산, 음원서비스 세이렌 개발기
[D2대학생세미나]산넘어 산, 음원서비스 세이렌 개발기
 
[D2 오픈세미나]2.browser engine 이형욱_20140523
[D2 오픈세미나]2.browser engine 이형욱_20140523[D2 오픈세미나]2.browser engine 이형욱_20140523
[D2 오픈세미나]2.browser engine 이형욱_20140523
 
[Hello world]nodejs helloworld chaesuwon
[Hello world]nodejs helloworld chaesuwon[Hello world]nodejs helloworld chaesuwon
[Hello world]nodejs helloworld chaesuwon
 
세미나
세미나세미나
세미나
 
[Hello world]git internal
[Hello world]git internal[Hello world]git internal
[Hello world]git internal
 
[D2 오픈세미나]3.web view hybridapp
[D2 오픈세미나]3.web view hybridapp[D2 오픈세미나]3.web view hybridapp
[D2 오픈세미나]3.web view hybridapp
 
[D2 오픈세미나]4.네이티브앱저장통신
[D2 오픈세미나]4.네이티브앱저장통신[D2 오픈세미나]4.네이티브앱저장통신
[D2 오픈세미나]4.네이티브앱저장통신
 
[Hello world]n forge
[Hello world]n forge[Hello world]n forge
[Hello world]n forge
 
[Hello world]play framework소개
[Hello world]play framework소개[Hello world]play framework소개
[Hello world]play framework소개
 

Similar to Softcon hack your_service

포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안
TJ Seo
 
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개 [Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
Oracle Korea
 
IBM 보안솔루션 앱스캔_App Scan Source Edition
IBM 보안솔루션 앱스캔_App Scan Source EditionIBM 보안솔루션 앱스캔_App Scan Source Edition
IBM 보안솔루션 앱스캔_App Scan Source Edition
은옥 조
 
소프트캠프 회사소개서 - Softcamp Company Introduction
소프트캠프 회사소개서 - Softcamp Company Introduction소프트캠프 회사소개서 - Softcamp Company Introduction
소프트캠프 회사소개서 - Softcamp Company Introduction
Softcamp Co., Ltd.
 
최근 보안 기술 및 성숙된 보안 관리를 위한 IBM 전략 소개
최근 보안 기술 및 성숙된 보안 관리를 위한 IBM 전략 소개최근 보안 기술 및 성숙된 보안 관리를 위한 IBM 전략 소개
최근 보안 기술 및 성숙된 보안 관리를 위한 IBM 전략 소개
ArumIm
 
2015 Android Game Revenue Saver
2015 Android Game Revenue Saver2015 Android Game Revenue Saver
2015 Android Game Revenue Saver
Jay Li
 
IBM 보안솔루션 앱스캔_AppScan Standard 소개
IBM 보안솔루션 앱스캔_AppScan Standard 소개IBM 보안솔루션 앱스캔_AppScan Standard 소개
IBM 보안솔루션 앱스캔_AppScan Standard 소개
은옥 조
 
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스 AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
Softwide Security
 
201412 보안자료_이유신
201412 보안자료_이유신201412 보안자료_이유신
201412 보안자료_이유신
시온시큐리티
 
Indusrial cyber security v3.0 소개서
Indusrial cyber security v3.0 소개서Indusrial cyber security v3.0 소개서
Indusrial cyber security v3.0 소개서
Harry Sohn
 
IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔
은옥 조
 
Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428
유 김
 
JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개
JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개
JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개
jsilabai
 
sw 자산관리 모범사례
sw 자산관리 모범사례sw 자산관리 모범사례
sw 자산관리 모범사례
audreysoft
 
[자료] 쉽고 새롭게! 비즈니스를 돕는 인공지능 왓슨 API_유튜브 라이브세미나 발표자료
[자료] 쉽고 새롭게! 비즈니스를 돕는 인공지능 왓슨 API_유튜브 라이브세미나 발표자료[자료] 쉽고 새롭게! 비즈니스를 돕는 인공지능 왓슨 API_유튜브 라이브세미나 발표자료
[자료] 쉽고 새롭게! 비즈니스를 돕는 인공지능 왓슨 API_유튜브 라이브세미나 발표자료
은옥 조
 
2020 standard based rnd smart mfg
2020 standard based rnd smart mfg2020 standard based rnd smart mfg
2020 standard based rnd smart mfg
S.K. Cha of ACS in Korea
 
IBM 보안사업부 서비스 및 솔루션 소개
IBM 보안사업부 서비스 및 솔루션 소개 IBM 보안사업부 서비스 및 솔루션 소개
IBM 보안사업부 서비스 및 솔루션 소개
유 김
 
Plm analytics 2017
Plm analytics 2017Plm analytics 2017
Plm analytics 2017
dohun kim
 
B2G Technology Report Mobile Application Security
B2G Technology Report Mobile Application SecurityB2G Technology Report Mobile Application Security
B2G Technology Report Mobile Application Security
Dillan Ryu
 

Similar to Softcon hack your_service (20)

포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안
 
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개 [Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
[Main Session] 보안을 고려한 애플리케이션 개발 공정 및 실무적 수행 방법 소개
 
IBM 보안솔루션 앱스캔_App Scan Source Edition
IBM 보안솔루션 앱스캔_App Scan Source EditionIBM 보안솔루션 앱스캔_App Scan Source Edition
IBM 보안솔루션 앱스캔_App Scan Source Edition
 
소프트캠프 회사소개서 - Softcamp Company Introduction
소프트캠프 회사소개서 - Softcamp Company Introduction소프트캠프 회사소개서 - Softcamp Company Introduction
소프트캠프 회사소개서 - Softcamp Company Introduction
 
최근 보안 기술 및 성숙된 보안 관리를 위한 IBM 전략 소개
최근 보안 기술 및 성숙된 보안 관리를 위한 IBM 전략 소개최근 보안 기술 및 성숙된 보안 관리를 위한 IBM 전략 소개
최근 보안 기술 및 성숙된 보안 관리를 위한 IBM 전략 소개
 
2015 Android Game Revenue Saver
2015 Android Game Revenue Saver2015 Android Game Revenue Saver
2015 Android Game Revenue Saver
 
IBM 보안솔루션 앱스캔_AppScan Standard 소개
IBM 보안솔루션 앱스캔_AppScan Standard 소개IBM 보안솔루션 앱스캔_AppScan Standard 소개
IBM 보안솔루션 앱스캔_AppScan Standard 소개
 
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스 AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
 
201412 보안자료_이유신
201412 보안자료_이유신201412 보안자료_이유신
201412 보안자료_이유신
 
Indusrial cyber security v3.0 소개서
Indusrial cyber security v3.0 소개서Indusrial cyber security v3.0 소개서
Indusrial cyber security v3.0 소개서
 
IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔
 
Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428
 
JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개
JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개
JSI LAB의 X-Chat for SOC 보안관제센터 시큐리티 코파일럿 제품과 사례 소개
 
2012521131 박소영 io_t시대의ssca
2012521131 박소영 io_t시대의ssca2012521131 박소영 io_t시대의ssca
2012521131 박소영 io_t시대의ssca
 
sw 자산관리 모범사례
sw 자산관리 모범사례sw 자산관리 모범사례
sw 자산관리 모범사례
 
[자료] 쉽고 새롭게! 비즈니스를 돕는 인공지능 왓슨 API_유튜브 라이브세미나 발표자료
[자료] 쉽고 새롭게! 비즈니스를 돕는 인공지능 왓슨 API_유튜브 라이브세미나 발표자료[자료] 쉽고 새롭게! 비즈니스를 돕는 인공지능 왓슨 API_유튜브 라이브세미나 발표자료
[자료] 쉽고 새롭게! 비즈니스를 돕는 인공지능 왓슨 API_유튜브 라이브세미나 발표자료
 
2020 standard based rnd smart mfg
2020 standard based rnd smart mfg2020 standard based rnd smart mfg
2020 standard based rnd smart mfg
 
IBM 보안사업부 서비스 및 솔루션 소개
IBM 보안사업부 서비스 및 솔루션 소개 IBM 보안사업부 서비스 및 솔루션 소개
IBM 보안사업부 서비스 및 솔루션 소개
 
Plm analytics 2017
Plm analytics 2017Plm analytics 2017
Plm analytics 2017
 
B2G Technology Report Mobile Application Security
B2G Technology Report Mobile Application SecurityB2G Technology Report Mobile Application Security
B2G Technology Report Mobile Application Security
 

Softcon hack your_service

  • 1.
  • 2.
  • 3. Infra Policy Analysis Development Software/Service 취약점 분석 사고분석 및 대응 디지털 포렌식 악성코드 분석 데이터 분석 (BIG DATA)
  • 4.  점검한 소프트웨어와 애플리케이션의 76%가 디자인과 실행에 심각한 결함을 가지고 있었다. Foundstone(미국 보안 컨설팅 회사) 조사  미국 경제에 600억 달러의 손실이 조잡한 소프트웨어의 품질로 인해 발생하고 있다. 미국 상무부 (US Department of Commerce)  제품 단계에서 버그를 수정하는 것은 디자인 단계에서 수정하는 것보다 100x100배의 비용이 소비된 다. IBM System Sciences Institute  애플리케이션 코드 1,000 라인에는 평균 15개의 보안 취약점이 존재한다. 미국 국방성 자료  1개의 취약점을 추적하는데 평균 75분이 소요되며, 이를 해결하는데 2시간 내지 9시간이 소요 미국 국방성 5년간 연구 자료
  • 5.
  • 6.
  • 7.
  • 8.
  • 9. * 출처:OWASP 2013 TOP 10 번역 문서
  • 10.
  • 11. http://www.naver.com/search.php?date=20151121 http://www.naver.com/search.php?date=20151121’><script>alert(1)</script * 즉 사용자가 입력한 값을 아무런 필터 처리를 하지 않고, 그대로 응답에 포함시켜 발생 <?php $date = $_GET[‘date’]; echo “<a href=‘http://xxx.com/$date’>GO!</a>” ?> <a href=‘http://xxx.com/20151121’>GO!</a> <a href=‘http://xxx.com/20151121’><script>alert(1)</script>’>GO!</a>
  • 12.
  • 13. <script>document.onkeypress = function(){ window.status += String.fromCharCode(window.event.keycode); } </script> <script> alert(window.clipboardData.getData(‘Text’)); </script>
  • 14.
  • 16.
  • 18. http://www.naver.com/search.php?date=20151121’><script>alert(1)</script <?php $date = htmlspecialchars($_GET[‘date’]); echo “<a href=‘http://xxx.com/$date’>GO!</a>” ?> <a href=‘http://xxx.com/20151121&#39&gt;&lt;script&gt;alert(1)&lt;/script&gt;’>GO!</a>
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28. AndroidManifest.xml // 문자 메시지 수신 확인 <uses-permission android:name="android.permission.RECEIVE_SMS" /> <uses-permission android:name="android.permission.RECEIVE_MMS" /> // 문자 메시지 읽기 <uses-permission android:name="android.permission.READ_SMS" /> // 전화기 상태 확인, 부팅완료되면 자동 실행 <uses-permission android:name="android.permission.READ_PHONE_STATE" /> <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" /> // 서버에서 보내는 푸쉬메시지 수신 <permission android:name="com.googleprojects.mmsp.permission.C2D_MESSAGE" android:protectionLevel="signature" /> <uses-permission android:name="com.googleprojects.mmsp.permission.C2D_MESSAGE" /> <uses-permission android:name="com.google.android.c2dm.permission.RECEIVE" /> // 인터넷 접속 - 네트워크 접속을 통한 정보 전송이 예상됨 <uses-permission android:name="android.permission.INTERNET" /> <uses-permission android:name="android.permission.ACCESS_WIFI_STATE" /> <uses-permission android:name="android.permission.CHANGE_WIFI_STATE" />
  • 29. AndroidManifest.xml // Device Administration API 는 system 레벨에서의 기기 관리 <receiver android:label="google_service_admin" android:name="com.googleprojects.mm.DevAdReceiver" android:permission="android.permission.BIND_SERVICE_ADMIN"> <meta-data android:name="android.app.device_admin" android:resource="@xml/lock_screen" /> <intent-filter> <action android:name="android.app.action.DEVICE_ADMIN_ENABLED" /> </intent-filter> </receiver> lock_screen.xml // 화면을 잠기는 방법과 시기를 제어할 수 있는 기능 설정 <?xml version="1.0" encoding="utf-8"?> <device-admin xmlns:android="http://schemas.android.com/apk/res/android"> <uses-policies> <force-lock /> </uses-policies> </device-admin>
  • 30.
  • 31.
  • 32.
  • 33.