OWASP TOP 10 - 2010 RC버전

웹 어플리케이션 2009. 11. 17. 22:18 Posted by TEAMCR@K
OWASP TOP 10 - 2010 RC버전이 나왔습니다.

2007년 기준에서 2가지의 항목이 수정되었습니다.

PDF 다운로드 : http://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf

2007년 (A3) Malicios File Execution 은 PHP와 관련되어서 많이 정의를 했는데, PHP에서 원천적으로 함수에서 대응을 하고 있어 많이 발생하지 않을거라 판단되어 2010년 기준에 제외되었습니다.

2007년 (A6) Information Leakage and Improper Error Handling 은 아직도 많이 발생하고 있지만, 위험 영향도에서는 심각하지 않다라고 판단을 한거 같습니다.

새로 추가된 사항은 다음 2가지 입니다.

(A6) Security Misconfiguration
: 웹 서버, WAS 등의 기본 설정, 관리자 페이지에 대한 접근 및 기본 계정 사용 등, 최신 취약점 미패치 등의 항목이 해당됩니다.
(A8) Unvalidated Redirects and Forwards
: URL 입력값 (url, return url 등등) 을 이용한 악성 서버 유도 등의 항목이 해당됩니다.

저작자표시 비영리 변경금지

ActiveX 대안으로 HTML5???

보안 소식/주간 이슈 2009. 11. 17. 19:28 Posted by 알 수 없는 사용자

http://www.zdnet.co.kr/Contents/2009/11/16/zdnet20091116182745.htm

HTML5가 마무리단계에 접어들면서 IE만이 누려왔던 특혜(?)를 타 브라우저로 이동시키려고 하고 있습니다..
어떤 브라우저를 사용하더라도 모두 똑같은 화면을 볼 수 있게 될 것입니다.
최근에 여러가지 스마트폰이 출시되고 있는데요.. 각각 다른 OS에 다른 브라우저를 이용하고 있기에 이런 면에서는 상당히 긍정적이라고 생각합니다. 특정 브라우저에 치우치는 인터넷 환경이 되지는 않을테니 말입니다.
특히 금융권 분야에서 어떤 효과가 있을지 기대가 됩니다.
물론, 적극적으로 사용한다는 가정이 필요합니다만...^^

어쨌든.. 유튜브에 올라왔던 HTML5 소개 동영상 링크를 달아볼까 합니다..
HTML5의 개발기간은 상당히 길었습니다. 동영상을 찾아보신다면 상당히 예전 자료도 많다는 것을 알 수 있습니다.

Introduction to HTML5 (HTML5 소개하기)
http://www.youtube.com/watch?v=siOHh0uzcuY

HTML5 데모
http://www.youtube.com/watch?v=C3vhV13O13o

HTML5에서는 플래쉬 설치없이 플래쉬 영상(youtube 동영상)을 볼 수 있다는 내용의 글..
http://neosmart.net/blog/2009/watch-youtube-videos-in-html5/

Apple iPhone Worm 발견!

(무선)네트워크 2009. 11. 10. 22:21 Posted by TEAMCR@K
http://www.net-security.org/malware_news.php?id=1138

Apple iPhone에서 SSH를 설치한 후에 기본 계정을 바꾸지 않으면 배경화면을 바꾸는 Worm 형태가 나타난다고 하네요.


저작자표시 비영리 변경금지

[동영상] 17 Hours of JavaScript from the Masters

웹 어플리케이션 2009. 11. 10. 22:13 Posted by TEAMCR@K
Javascript를 17시간에 마스터 할 수 있는 동영상 프리젠테이션 발표입니다.

영어를 조금(??) 할 수 있다면 굉장히 도움이 될건데요..

http://net.tutsplus.com/articles/web-roundups/17-hours-of-javascript-from-the-masters/
저작자표시 비영리 변경금지

Metasploit(Windows, ruby v1.9)에서 ORACLE dbi 설치 방법

서버/WAS/DBMS 2009. 11. 4. 20:23 Posted by 알 수 없는 사용자

Metasploit에서 oracle 관련한 익스플로잇을 실행하는 경우 dbi를 요구하는 경우가 있습니다.

공식 홈페이지에 포스팅이 되어있습니다.


그러나, 위의 방법은 우분투 8.04,8.10,9.04, Mac OS X에서 테스트를 하였지만 윈도우와 ruby 1.9 버전에서는 정상적으로 설치가 되지 않습니다. 

Metasploit 3.3 dev 버전은 ruby 1.9 버전이고, 실행한 환경도 Windows라 dbi 설치 방법을 찾아보았습니다.

RUBY/DBI 프로젝트 홈페이지 : http://rubyforge.org/projets/ruby-dbi/

RUBY/DBI 프로젝트 홈페이지에서 dbi gem파일을 다운로드합니다.
http://rubyforge.org/frs/download.php/63600/dbi-0.4.3.gem

다운로드한 파일은 cygwin 홈 디렉토리로 복사 또는 이동을 합니다.

Metasploit 3.3 dev 버전 설치시 디폴트 Cygwin 홈 디렉토리 경로는 C:\msf3\home\사용자명\ 입니다.

C:\msf3\shell.bat을 실행합니다.
$gem install dbi-0.4.3.gem





 

티스토리툴바