ISMS,PIMS,PIPL Simple Comparison. ISMS => 기업이 정보보호 활동을 지속적,체계적으로 수행하기 위해 필요한 보호 조치를 체계적으로 구축하였는지를 점검.PIMS => 기업이 개인정보보호 활동을 지속적,체계적으로 수행하기 위해 필요한 보호 조치 체계를 구축하였는지를 점검.PIPL => 공공 기관과 민간 기업이 일정 기준 이상의 개인정보보호 수준을 갖추면 정부가 인증해주고 외부에 공개 가능. PIMS는 PIPL와 매우 흡사하고, 결국 PIPL은 PIMS에 통합되고, 나중에 PIMS은 ISMS와 통합된다. Related Link => http://www.boannews.com/media/view.aspidx=39300&page=1&kind=1&search=title&find=
#Security
#Summary. KISA에서 나온 취약점 조치 가이드. 나온 지 몇 년 지났지만, 도움이 되는 내용이라서 첨부한다. 틈틈히 보는 것도 좋을 거 같다. 문제가 되면 바로 삭제하도록 하겠다. 알아야 될 거 정말 많다.
#Summary. KISA에서 나온 홈페이지 취약점 진단 제거 가이드. 나온 지 몇 년 지났지만, 도움이 되는 내용이라서 첨부한다. 틈틈히 보는 것도 좋을 거 같다. 문제가 되면 바로 삭제하도록 하겠다. 알아야 될 거 정말 많다.
Stack Clash. Unix를 기반으로 하는 여러 시스템에서 Stack Clash라는 취약점이 발견되었다.악용하면 공격자는 UNIX 시스템에서 root 권한을 획득해서 모든 권한을 장악할 수 있다.해당 문제점은 2005년, Linux가 Stack guard page 매커니즘을 도입한 후 처음 발견되었다. 이번에 발견된 취약점의 핵심도 역시 2005년부터 이미 존재하던 문제점으로, 패치를 진행하였지만, 동일한 문제점이 발생하여 2010년 또한번 패치가 되었다. 하지만 이번에 또 한번 취약점이 발견되었으며 결국 3번째 동일한 취약점이 발견된 것이다. Stack Clash?? 스택 메모리란 응용 프로세스로, 컴퓨터 RAM중 코드를 실행하는 메모리 영역입니다. 응용프로세스가 점점 커질수록 메모리 영역 역시 ..
IPsec. 보안에 취약한 구조를 가진 IP의 보안을 위하여 국제 인터넷 기술 위원회=IETF에서 설계한 표준=REC2401IPv4에서는 보안이 필요한 경우에만 선택적으로 사용했었지만 IPv6부터는 기본 스펙에 포함된다. #SA. IPSec를 사용하는 협약. 주요 요소.1.Sequence Number Counter => 패킷의 일련번호 카운터.2.Anti-Replay Window => 재전송 공격을 방어하기 위한 윈도우 값.3.AH/ESP => 프로토콜 정보.4.Lifetime => 세션 만료 기간.5.Mode => 동작 모드.6.Path MTU => 경로의 MTU 값. #SP. 일종의 패킷 필터링 정책.==> Incoming Traffic과 Outgoing Traffic으로 구분하여 정책을 지정한다.=..
#OWASP-Top 10 History Table.
#OWASP-2004. A1.입력값 검증 부재.웹 요청 정보가 웹 애플리케이션에 의해 처리되기 이전에 적절한 검증이 이루어지고 있지 않다.공격자는 이 취약점을 이용하여 웹 애플리케이션의 백엔드 컴포넌트를 공격할 수 있다. A2.취약한 접근 통제.인증된 사용자가 수행할 수 있는 작업을 적절히 제한하지 않고 있다.공격자는 이 취약점을 이용하여 다른 사용자의 계정에 접근하거나,민감한 정보가 담긴 파일을 열람하거나,허용되지 않은 작업을 수행할 수 있다. A3.취약한 인증 및 세션 관리.계정 토큰과 세션 토큰이 적절히 보호되고 있지 않다.공격자는 암호나 키, 세션 쿠키, 기타 인증 관련 토큰을 공격하여 인증을 우회하고 다른 사용자의 ID를 가장할 수 있다. A4.크로스 사이트 스크립팅[XSS].웹 애플리케이션이 ..
CVE. 보안 취약점에는 CVE로 시작하는 번호가 매겨져 있어서 좀 자세히 알아보도록 한다. CVE[Common Vulnerabilities and Exposure]는 공개적으로 알려진 소프트웨어의 보안 취약점을 가리키는 고유 표기를 말한다.이는 취약점을 가진 다른 도구,저장소 및 서비스 간에 데이터를 공유하는 것이 목표다.CVE 체계를 사용하기 이전에는 각 기관이나 업체마다 각자의 보안 취약점을 가리키는 이름을 붙여 사용했으나 세로 체계가 다르다 보니 일관성이 없어 혼란스럽고 비효율적이었다.CVE체계는 미국 비영리 회사인 MITRE라는 회사에서 1999년 처음 만들어 운영하기 시작했다.이후 미국 국립표준기술연구소[NIST]가 국가 취약성 데이터베이스[NVD]를 만들어 협력 체계를 구축하면서 체계화되기 ..
