brunch

You can make anything
by writing

C.S.Lewis

by hakawati May 17. 2016

2016년 18주차 정보보안 뉴스클리핑

(주)한국정보보호교육센터 F-NGS Labs

본 정보는 (주)한국정보보호교육센터의 부설 기술연구소 F-NGS Labs에서 생산한 컨텐츠입니다.

(주) 한국정보보호교육센터(www.kisec.com)

[영문 보안 뉴스 및 정보]

How to Test the Security of IoT Smart Devices
routersploit
Former Tor Developer Created Malware for FBI to Unmask Tor Users
If You Use Waze, Hackers Can Stalk You
Koodous
Kali Reporting Tools
Android Forensics Lab
Exploiting Internet Explorer’s MS15-106, Part I: VBScript Filter Type Confusion Vulnerability
Malware Incident Response pt. 2.
Bangladesh Bank hackers compromised SWIFT software, warning to be issued
Active drive-by exploits critical Android bugs, care of Hacking Team
Reversing the petya ransomware with constraint solvers
PowerShell used for spreading Trojan.Laziok through Google Docs
The Router Exploitation Framework

[국문 보안 뉴스 및 정보]

이메일·ID로 개인정보 유출 여부 찾는 사이트
모바일 결제방식 추가, Rokku 랜섬웨어 주의
인천국제공항공사 내부정보, 검색엔진에 노출돼 ‘말썽’
입이 가벼워지면 보안의 가치도 가벼워진다
대기업 `스캠` 공격에 당해.. 악성코드 감염 가능성 커
국정원 돕던 `해킹팀` 어떻게 해킹됐나
FICON 2016 발표자료
Panda Banker 악성코드 발견!
SSL Strip 공격과 HSTS Bypassing
SSL Strip 공격과 HSTS Bypassing

MITM (Man-In-The-Middle) 공격은 공격자와 Victim이 동일한 네트워크에 연결되어 있어야 한다. 따라서 외부에서 공격하는 Remote Exploit Attack에 비해 "덜 흥미로운-less interesting"것으로 간주되곤 한다. 그러나 동일 네트워크라는 제약조건에도 불구하고 MITM 공격이 여전히 이슈가 되는 이유는, Victim 네트워크에 접근했을 때, 다음 단계 해킹을 위한 강력한 무기로 활용할 수 있기 때문이다. 일반적으로 SSL과 같이 전송 구간 암호화가 적용되어 있으면 MITM이 불가능하다고 여기기 쉬우나, 다양한 기법을 통해 통신 내용을 중간에 가로채는 것이 (혹은 변조하는 것이) 가능하다. 이번 포스팅에서는 SSL 을 우회하여 MITM 공격하는 방법을 상세하게 다룰 예정이며, 목차는 다음과 같다. SSL-Strip 기법의 기본 이론과 동작 원리 SSL-Strip 방어기법 (HSTS)과 우회 방법 HSTS Bypass 공격을 통한 계정 탈취 실습 SSL Strip 기본 이론과 동작 원리 Client-Server간 암호화 통신을 위해 SSL이 적용된 경우에는 공격자가 중간에서 통신을 가로채더라도 그 내용을 해독할 수 없기 때문에 MITM 공격이 불가능하다. 그러나 최초 서버와의 세션 연결시 HTTPS를 강제로 HTTP 통신을 하게끔 만들수만 있다면, 일반적인 MITM 공격으로 트래픽 내용을 훔쳐볼 수 있다. 이것을 SSL Strip 기법이며, 말 그대로 "SSL을 벗겨내서(Strip)" 강제로 HTTP통신을 하게끔 유도하는 기법이다. SSL Strip 공격은 2009년 BlackHat DC 컨퍼런스에서 Moxie Marlinspike에 의해 처음 소개되었다. (소개 자료는 http://www.thoughtcrime.org/software/sslstrip/) 아래 그림을 통해 SSL Strip 공격 흐름을 이해해보자. Victim(A) 이 가상의 은행 사이트 www.foobarbank.com

noplanlife.com

 
험블번들 해킹책 시리즈
XSS 필터 우회 치트 시트 : XSS Filter Evasion Cheat Sheet
방글라데시 은행서 8천100만달러 훔친 해커가 사용한 악성코드
MS 종속적인 SSO
랜섬웨어 시장에 중간상 등장! 공격 더 쉬워진다
경기도-서울대 손잡고 융합보안 육성·지원 나선다
소프트웨어 테스팅 도구 지표 가이드 2016
소프트웨어 테스팅 도구 지표 가이드 2016

구분내용제목 소프트웨어 테스팅 도구 지표 가이드 2016보고서 발행일자 2015년 12월보고서 담당자 SW공학기술팀 윤형진 수석 (02-2132-1341 / yhjsqa@nipa.kr)소프트웨어 테스팅 도구 지표 가이드 2016본 가이드는 소프트웨어 테스팅에 대하여 기본부터 실무에 필요한 사항까지를 정리하였다. 제 1장 소프트웨어 테스팅 정의 및 소개 - 초보자부터 고급의 소프트웨어 엔지니어를 대상으로 정리한 소프트웨어 테스팅 입문편에 해당한다. 주로 ISTQB와 ISO/IEC/IEEE 29119와 같은 국제표준 또는 이에 준하는 가이드에서 정의하고 있는 내용을 위주로 정리하였다. 제 2장 소프트웨어 테스팅 도구 분류 - 소프트웨어 개발 생명주기를 기준으로 테스팅 관리 지원 도구, 정적 테스팅 지원 도구, 테스팅 설계 지원 도구, 테스팅 실행 및 로깅 지원 도구 그리고 성능과 모니터링 지원도구 5가지로 구분하여 테스팅 도구를 분류하고 설명하였다. 현업에서 테스팅을 2년 이상 수행한 실무자부터 관리자를 대상으로 하는 테스팅 실무 입문편에 해당한다.제 3장 소프트웨어 테스팅 도구 소개 - 2장에서 분류한 테스팅 도구 순서대로 다양한 도구의 설치법과 사용법을 소개한다. 상용 소프트웨어 보다는 무료 소프트웨어 위주로 구성하였다. 이는 현실적으로 상용 소프트웨어 도입이 어려운 중소 소프트웨어 기업을 우선 고려한 점임을 밝힌다. 하지만, 최근 국내 상용 소프트웨어 제품의 기능과 품질이 우수해지고 있어 차후 본 가이드를 업데이트 할 때는 국내 상용 소프트웨어 제품의 소개도 진행하려 한다. 제 3장은 테스팅 2년 이상 실무 수행 엔지니어를 대상으로 한다. 제 4장 소프트웨어 테스팅 지표 - 테스팅 실무 경력 5년 이상 또는 테스팅 관리자를 대상으로 한다. 소프트웨어 테스팅 계획 단계에서 제품 또는 프로젝트의 성공적인 수행을 위해 어떤 지표를 선택해서 측정, 관리, 통제하는것이 맞는지에 대하여 가이드를 제공하기 위함을 목적으로 한다.◈ 목 차 ◈Ⅰ. Software Testing 정의 및 소개 1.0 Software Testing 오해.............................................1 1) 잘 작동하던 시스템이 갑자기 멈춘다. 2) 시간과 인력이 부족해서 소프트웨어 테스팅은 어렵다. 3) 소프트웨어 테스팅은 어려운 업무가 아니다, 아무나 가능하다. 4) 소프트웨어 테스팅은 언제부터 시작해서, 언제까지 해야 하는지 모르겠다. 5) 소프트웨어 제품에 결함이 없다는 것을 증명하는 것이 소프트웨어 테스팅의 목적이다. 1.1 Software Testing 필요성..........................................6 1) 잠재적 오류와 결함의 발견 그리고 예방 2) 요구사항의 준수여부(기능/비기능) 확인 및 정량적 문서화 3) 소프트웨어 특성들에 대한 제품 확인 4) 고객 만족도 향상1.2 Software Testing 정의............................................12 - 테스팅(Testing) - 테스트(Test)1.3 Software Testing 역사............................................14 1) 디버깅 위주 시대(Debugging Oriented Period : ~ 1956) 2) 증명위주 시대(Demonstration Oriented Period : 1957 ~ 1978) 3) 파괴위주 시대(Destruction Oriented Period : 1979 ~ 1983) 4) 평가위주 시대(Evaluation Oriented Period : 1984 ~ 1987) 5) 예방위주 시대(Prevention Oriented Period : 1987 ~ 2000) 6) 위험위주 시대(Risk Oriented Period : 2000 ~ 2020)1.4 Software Testing 원칙............................................17 1) 개발자가 자신이 개발한 프로그램 및 소스코드를 테스팅 하지 않는다. 2) 효율적인 결함 제거 법칙 사용(낚시의 법칙, 파레토의 법칙) 3) 완벽한 소프트웨어 테스팅은 불가능하다. 4) 테스팅은 기획단계부터 해야 한다. 5) 살충제 패러독스 6) 오류-부재의 궤변1.5 Software Testing 관련 국제표준...............................23 1.5.1 ISO/IEC/IEEE 29119 Software and system engineering-Software Testing 1.5.2 ISO/IEC 33063 Process Assessment Model1.6 위험 기반 테스팅....................................................32 1.6.1 위험 기반 테스팅 전략 수립 1.6.2 위험 수준 분석 및 결정 1.6.3 위험 수준 별 테스팅 접근법 수립 1.7 탐색적 테스팅........................................................39 Ⅱ. 소프트웨어 테스팅 도구 분류 2.1 테스팅 관리 지원 도구.............................................47 2.1.1 테스팅 프로세스 관리 도구(Testing process management tools) 2.1.2 결함 관리 도구(Defect management tools) 2.1.3 요구사항 관리 도구(Requirement management tools) 2.1.4 형상 관리 도구(Configuration management tools)2.2 정적 테스팅 지원 도구.............................................55 2.2.1 리뷰 도구(Review tools) 2.2.2 정적 분석 도구(Static analysis tools) 2.2.3 모델링 도구(Modelling tools)2.3 테스팅 설계 지원 도구.............................................58 2.3.1 테스팅 설계 도구(Test design tools) 2.3.2 테스팅 데이터 준비 도구(Testing data preparation tools)2.4 테스팅 실행 및 로깅 지원 도구..................................60 2.4.1 테스팅 실행 도구(Testing execution tools) 2.4.2 테스트 하네스 도구(Test Harness Tool) 2.4.3 단위 테스팅 프레임워크 도구(Unit test framework) 2.4.4 테스팅 비교자(Test comparator) 2.4.5. 커버리지 측정 도구(Coverage measurement tools) 2.4.6 보안 도구(Security tools)2.5 성능과 모니터링 지원 도구.......................................68 2.5.1 동적 분석 도구(Dynamic analysis tools) 2.5.2. 성능/부하/스트레스 테스팅 도구(Performance/Load/Stress Testing tools) 2.5.3. 모니터링 도구(Monitoring tools)Ⅲ. 소프트웨어 테스팅 도구 소개3.0 테스팅 도구 도입의 원칙........................................73 3.0.1 테스팅 도구 도입의 잠재 이익과 위험 요소 3.0.2 테스팅 도구 도입 및 배포 3.0.3 파일럿 프로젝트 적용 3.0.4 테스팅 자동화 3.0.5 도구의 배포 3.0.6 도구 도입 절차 3.0.7 도구 도입의 성과3.1 테스팅 관리 지원 도구...........................................86 3.1.1 테스팅 관리 도구(Testing management tools) - Redmine / Mylyn 3.1.2 결함 관리 도구(Defect management tools) - Bugzilla / Mantis / Trac 3.1.3 요구사항 관리 도구(Requirement management tools) - JFeature 3.1.4 형상 관리 도구(Configuration management tools) - Subversion + TortoiseSVN 3.2 정적 테스팅 지원 도구.............................................110 3.2.1 리뷰 도구(Review tools) - Gerrit 3.2.2 정적 분석 도구(Static analysis tools) - CheckStyle / CppCheck / PMD / JDepend 3.2.3 모델링 도구(Modelling tools) - StarUML / ERMaster 3.3 테스팅 설계 지원 도구.............................................130 3.3.1 테스팅 설계 도구(Test design tools) - Jubula / TestLink 3.3.2 테스팅 데이터 준비 도구(Test data preparation tools) - Toad 3.4 테스팅 실행 및 로깅 지원 도구..................................140 3.4.1 테스팅 실행 도구(Test execution tools) - Selenium 3.4.2 테스팅 하네스 도구 - SoapUI 3.4.3 단위 테스팅 프레임워크 도구 - JUnit / NUnit 3.4.4 커버리지 측정 도구(Coverage measurement tools) - Emma / Cobertura 3.5 성능과 모니터링 지원 도구.......................................159 3.5.1 동적 분석 도구(Dynamic analysis tools) - Valgrind / JMeter / LoadUI 3.5.2 성능/부하/스트레스 테스팅 도구(Performance/Load/Stress Testing tools) - JMeter / LoadUI Ⅳ. 소프트웨어 테스팅 지표4.1 소개.....................................................................166 4.1.1 개요 4.1.2 소프트웨어 지표 4.1.3 소프트웨어 테스팅 지표 4.1.4 관련 용어 정리4.2 지표의 중요성........................................................173 - 지표의 특징4.3 테스팅 지표관리 체계..............................................175 - 분석, 협의, 평가, 보고, 4.4 기능 관점 테스팅 지표.............................................178 4.4.1 개발 시스템 품질 지표 - 시스템 기능 지표 4.4.2 테스팅 프로세스 품질 지표 - 테스팅 관리 지표 - 코드 품질 지표 - 테스팅 실행 지표 - 자동화 테스팅 지표 ☞ 보고서 전문은 첨부 파일을 확인해 주시기 바랍니다.※ 이용방법 및 유의사항 안내- [소프트웨어 테스팅 도구 지표 가이드 2016]은 PDF 파일로 제공되며, 로그인 후 다운로드하실 수 있습니다.- [소프트웨어 테스팅 도구 지표 가이드 2016] 활용 시 반드시 출처(정보통신산업진흥원 부설 소프트웨어공학센터)를 명시하여 주시기 바랍니다.- [소프트웨어 테스팅 도구 지표 가이드 2016]는 별도로 판매되지 않습니다.

www.sw-eng.kr

 
산부인과 의사들 뒷돈받고 사진관에 1만4천명 개인정보 유출
Hacker Course Buffer Overflow - A Practical Example (with Exploit)
사물인터넷 SW 보안 취약점 자동으로 찾아주는 플랫폼 개발
Hacking Team관련 치명적인 안드로이드 드라이브 바이 다운로드 익스플로잇, 활발히 활동 중
믿지못할 `단축URL`… 보안위험 `사각지대`
여수 '버스정류장 야동' 어떻게 올렸을까
박나룡 소장 “PIMS 인증, 전문인력과 예산-시간-내부 커뮤니케이션은 필수”
보안관제 실무가이드
페이스북 침투테스트 하다가 미스터리 백도어 발견!
육동현 싸이버원 대표 “지난해 210억원 매출, 올해 핵심 사업에 더욱 집중”
지란지교에스앤씨, 국정원 실태조사 대비 효율적 증적 관리 방안 제시

[일반 IT 정보]

파이썬 철학 (Python Philosophy)
파이썬 튜토리얼 (Python tutorial)
'프로그래밍 기술/TCPIP 프로토콜' 카테고리의 글 목록
인기 IT직종 10선··· 대세는 오픈소스·클라우드·빅데이터
Programming Is Not Math
GNUEmacsManual:31
개발자의 생명은 커뮤니케이션 능력
대기업 개발자의 스타트업 생존기
신입 개발자 생활백서
읽기 좋은 코드가 좋은 코드다 책 요약정리
웹 서비스를 준비하지만 IT는 모르는 당신이 사업 전 꼭 알아야 할 11가지 단계

[일독 추천]

집중력을 훈련하는 방법
변화하고 싶다면 1년만 미쳐라.
대학 졸업 전에 회사 두개 130억에 판 이관우 버즈빌 대표, "중학생 때 이미 4000만원 벌어"
학력란에 '무크 수료' 써넣는 시대…'대학 혁명' 시작됐다
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari