Metasploit 3.3.2 Released!

보안 소식/주간 이슈 2009. 12. 11. 10:05 Posted by TEAMCR@K
URL : http://www.metasploit.com/

New in version 3.3.2:
  • Metasploit now has 463 exploit modules and 219 auxiliary modules (from 453 and 218 respectively in v3.3.1).
  • The Meterpreter payload is now multi-threaded, providing the ability have multiple outstanding requests at once.
  • The Meterpreter pivoting is much more robust and stable for the common use cases.
  • The database subsystem now uses ActiveRecord migrations to create and update databases.
  • The database API is now much more efficient due to improved query filters and delayed saves.
  • The Oracle mixin and many of the modules have been updated and improved. The dbi module is no longer required.
  • The VNCInjection stage has been successfully tested on Windows 7 (running under WOW64).
  • The NeXpose Plugin can now launch scans against hosts already in the database (such as those found via Nmap).
  • The NeXpose Plugin now supports an alternate syntax to nexpose_connect that allows '@' and ':' in passwords.
  • The XMLRPC plugin now supports a RFC-compliant mode for integration with other products
  • The scanner modules support Nmap-style syntax for RHOSTS. This deprecates the 1.2.3.1-1.2.3.255 syntax.
  • The jobs command can now show detailed information about a background job (-i and -v).
  • This release fixes 42 bus.
저작자표시 비영리 변경금지

'08년 u-City 공모사업 정보보호 사전진단 종합결과보고서

보안 소식/주간 이슈 2009. 12. 10. 10:24 Posted by TEAMCR@K

'08년 u-City 공모사업 정보보호 사전진단 종합결과보고서 입니다.

u-City 관련해서 많은 내용들이 포함되어 있어 참고하기 좋은 문서입니다.

다운로드 : http://www.nia.or.kr/Extra/Module/Common/Lib/Attach/DownLoad.aspx?Seq=18163

저작자표시 비영리 변경금지

CSI Computer Crime and Security Survey-Executive Summary

보안 소식/주간 이슈 2009. 12. 9. 11:51 Posted by TEAMCR@K
홈페이지 : http://www.gocsi.com/

CSI(Computer Security Institute)에서 매년 컴퓨터 범죄와 보안에 대한 서베이를 발표하는데, 2009년판이네요~
16페이지정도인데 요약본이 아닌 버전(40페이지 정도..)은 구매하래요..


저작자표시 비영리 변경금지

[온라인 교육] 개인정보보호 담당자 과정

보안 소식/교육 및 세미나 2009. 12. 8. 13:20 Posted by TEAMCR@K

주요 교육내용은 ▲개인정보를 수집하는 경우에는 본인에게 수집목적 등을 알리고 동의를 받도록 하고, 수집한 목적 범위 내에서만 개인 정보를 이용하도록 하며, 수집목적이 달성되면 즉시 파기하도록 하는 등의 개인정보 라이프사이클(Life Cycle)별 보호조치 사항 ▲개인정보의 안전한 취급을 위한 내부 계획의 수립, 개인 정보 관리책임자 지정 및 정기적인 자체감사 실시 등 개인정보의 안전성 확보에 필요한 관리적 조치사항 ▲개인정보시스템에 대한 접근권한 제한 및 인증 조치, 개인정보 저장·전송시 암호화 조치, 접속기록의 위·변조 방지 등 기술적 조치사항 등이다.

보안뉴스 링크 : http://www.boannews.com/media/view.asp?idx=18825&kind=2


SIS 개인 정보 교육 사이트 : http://www.sis.or.kr/learning/privacyCourse.sis

플래시로 진행이 되기 때문에 배우기 쉽고 재미있습니다.^^)...수료증도 발급되는듯??




저작자표시 비영리 변경금지

Preventing JavaScript Injection Attacks

보안 소식/주간 이슈 2009. 12. 7. 11:00 Posted by 알 수 없는 사용자
asp.net 환경에서 JavaScript Injection 취약점이 실행되는 것을 HTML Encode을 적용하여 예방할 수 있습니다.

다음은 website에 입력값이 들어올 때 HTML encode을 적용하여 JavaScript injection attack을 예방할수 있는 간단한 소스코드 입니다.

Index.aspx (HTML Encoded)
<%@ Page Language="VB" MasterPageFile="~/Views/Shared/Site.Master" AutoEventWireup="false" CodeBehind="Index.aspx.vb" Inherits="CustomerFeedback.Index"%>

<asp:Content ID="indexContent" ContentPlaceHolderID="MainContent" runat="server">
     <h1>Customer Feedback</h1>
     <p>
          Please use the following form to enter feedback about our product.
     </p>

     <form method="post" action="/Home/Create">
          <label for="message">Message:</label>
          <br />
          <textarea name="message" cols="50" rows="2"></textarea>
          <br /><br />
          <input type="submit" value="Submit Feedback" />
     </form>

     <% For Each feedback As CustomerFeedback.Feedback In ViewData.Model%>
          <p>
          <%=feedback.EntryDate.ToShortTimeString()%>
          --
          <%=Html.Encode(feedback.Message)%>
          </p>
     <% Next %>

</asp:Content>

<%=Html.Encode(feedback.Message)%> 부분이 HTML encoded를 적용하게 됩니다.
<script>alert("a3sc");</script> → &lt;script&gt;alert(&quot;Boo!&quot;)&lt;/script&gt;

HTML encode가 적용되어 취약점이 실행되지 않은 화면입니다.


HomeController.cs (HTML Encoded)
Public Class HomeController
     Inherits System.Web.Mvc.Controller

     Private db As New FeedbackDataContext()

     Function Index()
          Return View(db.Feedbacks)
     End Function

     Function Create(ByVal message As String)
          ' Add feedback
          Dim newFeedback As New Feedback()
          newFeedback.Message = Server.HtmlEncode(message)
          newFeedback.EntryDate = DateTime.Now
          db.Feedbacks.InsertOnSubmit(newFeedback)
          db.SubmitChanges()

          ' Redirect
          Return RedirectToAction("Index")
     End Function

End Class

참고사이트
http://www.asp.net/learn/mvc/tutorial-06-vb.aspx

FreeBSD local root zeroday

보안 소식/주간 이슈 2009. 12. 7. 10:20 Posted by 알 수 없는 사용자

지난 11월 30일에 FreeBSD 7.0(and later)을 대상으로 하는 Exploit(Local root bug)가 공개되어, 사용자들의 주의가 요구됩니다. 이는 "kingcope" 라는 닉을 사용하는 해외 해커가 발견하여 간단한 Exploit 을 공개했습니다.

현재 security.freebsd.org 에서 패치가 공개된 상태입니다.

해당 취약점은 Ling-Editor (rtld)의 실행(Run-time) 시 LD_PRELOAD 환경 변수에 의해서 발생되는 취약점입니다.
LD_PRELOAD 는 일반적으로 사용되지 않는 환경 변수인데, 이를 통해서 "ping", "su"와 같은 바이너리에 setugid를 설정할 수 있기 때문입니다. 이와 같이 setugid를 설정할 수 있는 취약점을 이용한 exploit 입니다.


다음은 해당 취약점을 간략히 정리한 내용입니다.

 ▒ 종류: core
 ▒ 대상: rtld
 ▒ 영향: FreeBSD 7.0 and later
 ▒ CVE Name: CVE-2009-4146, CVE-2009-4147
 ▒ 특징: setugid 를 이용한 root 권한 상승


다음은 해당 취약점의 대응방안을 정리한 내용입니다.

 ▒ Security.freebsd.org 에서 공개된 패치 적용
 ▒ Announced: 2009-12-03
 ▒ URL: http://security.freebsd.org/advisories/FreeBSD-SA-09:16.rtld.asc

Internet Explore Zero-Day 피해 주의

보안 소식/주간 이슈 2009. 12. 2. 20:53 Posted by 알 수 없는 사용자

얼마전 IE 6, 7을 대상으로 하는 Exploit이 공개되어, 사용자들의 주의가 요구됩니다.

해당 취약점은 document.getElementsByTagName() method에 의해서 발생되는 취약점입니다.
HTML viewer인 mshtml.dll 에 영향을 미쳐서 브라우저 핸들이 크래쉬(서비스 거부)가 되는 취약점 입니다.

다음은 해당 취약점을 간략히 정리한 내용입니다.

 ▒ 대상: Microsoft Internet Explore 6, 7 (IE 8 제외)
 ▒ 특징: style 관련 태그에서의 취약점 발견
 ▒ 영향: 브라우저 핸들이 크래쉬되어 브라우저 멈춤 등의 현상이 일어날 수 있고, 공격자의 악성코드가 실행될 수 있음.

다음은 해당 취약점의 대응방안을 정리한 내용입니다. (12월 2일 현재까지, MS 공식 패치가 발표되지 않음.)
 ▒ IE8 사용
 ▒ Anti-Virus 제품 설치
 ▒ 출처가 불분명하거나 신뢰할 수 없는 사이트에 대한 방문 자제
 ▒ 보안업데이트가 발표되기 전까지 JavaScript를 사용하지 않도록 설정
     ([Internet Explorer > 도구 > 보안 > 인터넷 > 사용자 지정 수준]에서 "Active 스크립팅"을 "사용 안 함"으로 설정)

다음은 참고자료 및 사이트를 정리한 내용입니다.
 (1) http://www.symantec.com/connect/blogs/zero-day-internet-explorer-exploit-published
 (2) http://www.microsoft.com/technet/security/advisory/977981.mspx
 (3) http://www.krcert.or.kr/secureNoticeView.do?num=371&seq=-1

[자격증 정보] CPPG 개인정보 관리사

보안 소식/교육 및 세미나 2009. 11. 27. 11:37 Posted by TEAMCR@K
기사 내용 : http://www.ddaily.co.kr/news/news_view.php?uid=56734

자격증 정보 URL : http://www.cpptest.or.kr


 

제 1회 개인정보관리사 시험 안내

 


한국CPO포럼은 개인정보보호 관련 인력 수요의 증가에 따라 기업과 기관이 공통적으로 인정할 수 있는 개인정보보호 전문인력 평가를 위하여 개인정보관리사 자격시험을 실시하오니, 관심 있는 분들은 아래 내용을 참고하여 주시기 바랍니다.


1. 시험일시 : 2009.12.19(토) 15:00 - 17:00 (120분)


2. 시험장소 : 서울지역만 실시 (세부 장소는 추후 공지)


3. 접수기간 : 2009.11.16(월) - 12.11(금)


4. 접수방법 : 온라인 접수(www.cpptest.or.kr)


5. 응시분야

 o CPPG (Certified Privacy Protection General)

 o CPPS, CPPA는 추후 시행 예정임

6. 검정기준

 o CPPG (Certified Privacy Protection General) : 개인정보관리사

   개인정보보호 정책 및 대처 방법론에 대한 지식 및 능력을 갖춘 인력 또는 향후 기업

   또는 기관의 개인정보 관리를 희망하는 자로서, 다음의 업무능력을 보유한자

   - 개인정보보호와 관련된 보안정책의 수립

   - 기업/기관과 개인정보보호의 이해

   - 개인정보 취급자 관리

   - 관련법규에 대한 지식 및 적용


7. 응시자격

 o CPPG : 응시자격 제한 없음

8. 시험과목(CPPG)

시험과목

배점비율

1

개인정보의 정의 및 중요성

20%

2

개인정보 라이프사이클 관리

30%

3

이용자의 권리

10%

4

개인정보의 기술적 관리적 보호조치

30%

5

개인정보 관리체계

10%

※ 세부 출제기준 : 홈페이지 > 개인정보관리사 > 출제기준


9. 검정수수료

 o CPPG : 130,000원


※ 자세한 사항은 CPPTEST 홈페이지를 참고하여 주시기 바랍니다.


※ 접수관련 문의 :  한국CPO포럼 사무국(02-516-1823~4)




[원서접수 바로가기]



저작자표시 비영리 변경금지

[세미나/교육] 제3회 인터넷전화 보안기술 세미나

보안 소식/교육 및 세미나 2009. 11. 23. 11:35 Posted by TEAMCR@K
URL : http://www.kisa.or.kr/new/notice/view.jsp?menu=1&gubun2=2&dno=281&gid=kisa&b_gubun=01&cpage=1



저작자표시 비영리 변경금지

ActiveX 대안으로 HTML5???

보안 소식/주간 이슈 2009. 11. 17. 19:28 Posted by 알 수 없는 사용자

http://www.zdnet.co.kr/Contents/2009/11/16/zdnet20091116182745.htm

HTML5가 마무리단계에 접어들면서 IE만이 누려왔던 특혜(?)를 타 브라우저로 이동시키려고 하고 있습니다..
어떤 브라우저를 사용하더라도 모두 똑같은 화면을 볼 수 있게 될 것입니다.
최근에 여러가지 스마트폰이 출시되고 있는데요.. 각각 다른 OS에 다른 브라우저를 이용하고 있기에 이런 면에서는 상당히 긍정적이라고 생각합니다. 특정 브라우저에 치우치는 인터넷 환경이 되지는 않을테니 말입니다.
특히 금융권 분야에서 어떤 효과가 있을지 기대가 됩니다.
물론, 적극적으로 사용한다는 가정이 필요합니다만...^^

어쨌든.. 유튜브에 올라왔던 HTML5 소개 동영상 링크를 달아볼까 합니다..
HTML5의 개발기간은 상당히 길었습니다. 동영상을 찾아보신다면 상당히 예전 자료도 많다는 것을 알 수 있습니다.

Introduction to HTML5 (HTML5 소개하기)
http://www.youtube.com/watch?v=siOHh0uzcuY

HTML5 데모
http://www.youtube.com/watch?v=C3vhV13O13o

HTML5에서는 플래쉬 설치없이 플래쉬 영상(youtube 동영상)을 볼 수 있다는 내용의 글..
http://neosmart.net/blog/2009/watch-youtube-videos-in-html5/

 

티스토리툴바