Security 추천사이트

보안 소식/주간 이슈 2009. 12. 31. 11:06 Posted by TEAMCR@K
요즘 자주 찾아가는 2개 사이트를 추천할려고 합니다.

1) http://exploit-db.com/

공격코드 및 관련 문서들이 꾸준히 올라오던 www.milw0rm.com 을 아실겁니다.
현재 그쪽 사이트는 업데이트가 중단된 상태이고, 이쪽 사이트에서 동일하게 서비스를 하고 있습니다.
몇주를 지켜봤는데 업데이트도 아주 잘 되고 있습니다. 도움 되시기 바랍니다.

2) http://www.woany.co.uk/
포렌식 점검, 취약점 점검, 간단한 유틸 등 도움이 될만한 Free Tools 모음 사이트 입니다.
간단한 설명 및 실행 화면들이 포함되어 있습니다.
프로젝트 수행할시에도 도움이 될만한 도구들이 넘치네요^^).
저작자표시 비영리 변경금지

알기쉬운 정보보호관리체계 플래시

보안 소식/주간 이슈 2009. 12. 27. 17:51 Posted by TEAMCR@K
KISA에서 정보보호 관리 체계 인증(ISMS)에 대해서 쉽게 설명한 플래쉬 동영상 파일을 공개하였습니다.

정보보호 관리체계 인증 자료실 : http://www.kisa.or.kr/kisa/isms/jsp/isms_data_list.jsp

기업환경의 변화에 따른 정보보호관리체계(ISMS) 인증 제도의 필요성과 인증 취득 절차를 설명해줌으로써, 정보보호관리체계를 처음 접하신 분들이, 보다 쉽게 이해할 수 있는 플래시 자료입니다.

ㅁ 분량
- 10분 41초

ㅁ 수록 내용
- 기업 및 정보보호 패러다임의 변화
- 정보보호관리체계의 필요성
- 정보보호관리체계 개요
- 효과 및 혜택

ㅁ 이용 방법
- 플래시 파일을 다운로드하여 압축을 풀고 start.html를 실행하시면 됩니다.

저작자표시 비영리 변경금지

[KrCert] 웹 보안 툴 박스

보안 소식/주간 이슈 2009. 12. 23. 09:53 Posted by TEAMCR@K
인터넷 침해 사고 대응 센터(www.krcert.or.kr) 에서 웹 보안 툴 박스(http://toolbox.krcert.or.kr) 라는 서비스를 만들었습니다.

공개 도구(웹 취약점 점검, WHISTL, CASTLE, 공개 웹 방화벽 등)에 대한 설명 및 질문 등이 가능하며, 웹 어플리케이션 취약점에 대해서 동영상 강의가 있네요.

관리자분들한테 매우 유용하게 사용될거 같습니다.


저작자표시 비영리 변경금지

[KrCert] 웹하드 서비스를 통해 생성된 Botnet을 이용한 DDoS 사고 사례

보안 소식/주간 이슈 2009. 12. 22. 18:19 Posted by TEAMCR@K
지능화된 DDoS 공격 중 하나인 웹 하드 서비스를 이용하여 악성 파일을 배포하는 형식의 사고 사례 입니다.

다운로드(KrCert)
: http://www.krcert.or.kr/unimDocsDownload.do?fileName1=091218-IN2009002_webhardbotnet.pdf&docNo=IN2009002&docKind=3

저작자표시 비영리 변경금지

2010년 예상되는 공격 이슈

보안 소식/주간 이슈 2009. 12. 22. 18:13 Posted by TEAMCR@K

6가지의 주제정도로 2010년에 유행할 공격에 대해서 정리를 해놨네요.

P2P나 파일 공유 사이트, 휴대폰(모바일) 경유를 통한 감염 등이 이슈로 나오고 있습니다.

http://www.net-security.org/secworld.php?id=8643&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+HelpNetSecurity+%28Help+Net+Security%29

1. A rise in attacks originating from file sharing networks.

2. An increase in mass malware epidemics via P2P networks.

3. Continuous competition for traffic from cybercriminals.

4. A decline in fake anti-virus programs.

5. An interest in attacking Google Wave.

6. An increase in attacks on iPhone and Android mobile platforms.

저작자표시 비영리 변경금지

아이폰 Botnet iKee.B (Duh) 분석 사이트입니다.

보안 소식/주간 이슈 2009. 12. 22. 18:07 Posted by TEAMCR@K

아이폰 Botnet으로 한참 시끌했던 iKee.B (Duh)에 대해서 자세히 분석을 한 사이트 입니다.

http://mtc.sri.com/iPhone/#Javox
 

저작자표시 비영리 변경금지

대량의 SQL Injection 공격

보안 소식/주간 이슈 2009. 12. 15. 12:02 Posted by TEAMCR@K
새로운 SQL Injection 공격으로 인해서 <iframe> 삽입이 이루어지고 있다고 합니다.

Scansafe사에서는 11월 21일경부터 공격이 시작되었다고 발표하고 있습니다.

우선 공격코드가 아래와 같은 내용이 포함되어 있기 때문에 업데이트는 필수 입니다.

  • Integer overflow vulnerability in Adobe Flash Player, described in CVE-2007-0071
  • MDAC ADODB.Connection ActiveX vulnerability described in MS07-009
  • Microsoft Office Web Components vulnerabilities described in MS09-043
  • Microsoft video ActiveX vulnerability described in MS09-032
  • Internet Explorer Uninitialized Memory Corruption Vulnerability – MS09-002


    • 관련 정보 : http://www.darkreading.com/vulnerability_management/security/attacks/showArticle.jhtml?articleID=222001558&subSection=Attacks/breaches

    Scansafe 사에서 이와 관련해서 글을 올려놓았네요.
    http://blog.scansafe.com/journal/2009/12/9/318x-sql-injection-claims-125000.html

    자세한 공격형태는 정보를 수집해야 할거 같습니다. 후에 분석이 이루어지면 포스팅 하도록 하겠습니다.


    저작자표시 비영리 변경금지

    웹 사이트 개발ㆍ운영을 위한 개인정보보호 가이드

    보안 소식/주간 이슈 2009. 12. 15. 10:49 Posted by TEAMCR@K
    출처 : http://www.kisa.or.kr
             http://www.securenet.or.kr


    문서 다운로드 :
    http://www.securenet.or.kr/servlet/ksBoardFileDown?boardId=guide_corp&seq=1&mask=12605107376300

    목차 :

    제1장 웹 사이트 개발ㆍ운영을 위한 개인정보보호 가이드 개요

    제2장 개발단계 개인정보보호 가이드

      제 1절 설계 및 개발 단계에서의 개인정보보호
      제 2절 웹 페이지별 개인정보보호 조치
        1. 초기화면 페이지
        2. 회원가입 페이지
        3. 회원정보 조회 및 수정 페이지
        4. 회원탈퇴 페이지
        5. 이용자 로그인 페이지
        6. 게시판 페이지
        7. 주문 페이지
        8. 결제 페이지
        9. A/S 및 불만 접수 페이지
        10. 관리자 페이지

     

    제3장 운영단계 개인정보보호 가이드
      제 1절 운영 시나리오별 개인정보보호 조치
      제 2절 개인정보 담당자 임명 및 역할 지정
        1. 개인정보 관리책임자
        2. 개인정보 취급자

      제 3절 개인정보의 생명주기별 운영방침
        1. 개인정보의 수집
        2. 개인정보의 관리
        3. 개인정보의 이용 및 제공
        4. 개인정보의 파기
        5. 개인정보 담당자 별 업무 분담 표

     

    [부록1] FAQ
    [부록2] 웹 사이트 개발 시 개인정보보호 체크 리스트
    [부록3] 웹 사이트 개발 사전준비


    가이드라인 URL : http://www.securenet.or.kr/main.jsp?menuSeq=517


    저작자표시 비영리 변경금지

    [symantec 문서] 파이어폭스와 악성코드에 대한 이야기

    보안 소식/주간 이슈 2009. 12. 15. 10:13 Posted by TEAMCR@K

    파이어폭스와 악성코드에 대한 상관관계(?)에 대해 정리를 잘 해놓은 자료입니다.^^)

    문서 다운로드:
    http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf

    이외에도 좋은 문서들이 많이 있네요^^)
    http://www.symantec.com/business/security_response/whitepapers.jsp

    저작자표시 비영리 변경금지

    2009년 12월 Microsoft 보안 업데이트

    보안 소식/주간 이슈 2009. 12. 13. 20:47 Posted by TEAMCR@K

    출처 : http://www.microsoft.com/korea/protect/computer/updates/bulletins/200912.mspx

    2009년 12월 Microsoft 보안 업데이트

    게시 날짜: 2009년 12월 9일

    Microsoft의 정기적인 월례 보안 업데이트 계획에 따라 2009년 12월 9일 보안 업데이트 6건이 발표되었습니다.

    최신 보안 업데이트

    MS09-069 - Windows 취약점 해결(KB 974392)

    MS09-070 - Windows 취약점 해결(KB 971726)

    MS09-071 - Windows 취약점 해결(KB 974318)

    MS09-072 - Internet Explorer의 취약점 해결(KB 976325)

    MS09-073 - Windows 취약점 해결(KB 975539)

    MS09-074 - Microsoft Office Project의 취약점 해결(KB 967183)

    업데이트를 받는 방법

    자동 업데이트를 사용하도록 설정한 경우 이미 이 업데이트를 설치했을 수 있습니다. 사용 중인 운영 체제에서 자동 업데이트를 사용하는 방법에 대한 자세한 내용은 자동으로 PC 업데이트를 참조하십시오.

    자동 업데이트를 설정하지 않았거나 업데이트가 필요한지 여부를 확인하려면 Microsoft Update를 방문하십시오.

    보안 업데이트는 Microsoft 다운로드 센터에서 다운로드할 수 있으며 security update 및 업데이트가 발표된 달을 사용하여 키워드 검색을 통해 쉽게 찾을 수 있습니다.


     

    저작자표시 비영리 변경금지
     

    티스토리툴바