분류 전체보기 (169) 썸네일형 리스트형 KISA - 파이썬 시큐어 코딩 가이드 https://www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=66641 KISA 인터넷 보호나라&KrCERT KISA 인터넷 보호나라&KrCERT www.boho.or.kr 과학기술정보통신부와 한국인터넷진흥원은 개발 단계에서부터 SW개발보안(시큐어코딩)을 적용하여 기업에서 개발하는 SW의 보안성을 높이고 개발자의 개발보안 역량을 강화할 수 있도록 기술안내서를 보급하고 있습니다. ※ 본 가이드는 영리 목적으로 활용할 수 없으며, 가이드 내용의 전부 또는 일부 인용 시 반드시 출처를 명시해야 합니다. PART 제1장 개요 제1절 배경 제2절 가이드 목적 및 구성 PART 제2장 시큐어코딩 가이드 제1절 입력데이터 검증 및 표현 제2절 보안기능 제3절.. Spring4Shell취약점(CVE-2022-22963, CVE-2022-22965) 2022년 03월 30일 Java 프레임워크인 Spring에 RCE 취약점이 공개되었다. Log4Shell 과 비슷 하기 때문에 취약점 Spring4Shell 이라고 명명했습니다 . 실제로는 Log4Shell보다 더 효과적입니다. (지난 log4shell 악몽이 떠오르는 군요..) 1. 취약점 정보 https://www.cyberkendra.com/2022/03/springshell-rce-0-day-vulnerability.html?m=1 CVE-2022-22963 - spring cloud function에서 발생하는 RCE 취약점 CVE-2022-22965 - spring core에서 발생하는 RCE 취약점(Spring4Shell) 2. 취약 대상 (1) JDK 9 이상 (2) Spring 프레임워.. 금융권 클라우드 컴플라이언스 및 가이드 1. 금융권 클라우드 관련 컴플라이언스 및 가이드 https://www.law.go.kr/ 클라우드법(클라우드 컴퓨팅 법) 전자 금융법 전자금융 감독 규정 -https://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/%EC%A0%84%EC%9E%90%EA%B8%88%EC%9C%B5%EA%B0%90%EB%8F%85%EA%B7%9C%EC%A0%95 전자금융감독규정 www.law.go.kr 전자금융 감동 규정 해설서 - https://wiki.wikisecurity.net/_media/%EC%A0%84%EC%9E%90%EA%B8%88%EC%9C%B5%EA%B0%90%EB%8F%85%EA%B7%9C%EC%A0%95_%ED%95%B4%EC%8.. Lapsus$ 해킹 그룹 NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre, Microsoft, Okta , LG 대부분의 공격은 소스코드 저장소를 대상으로 함 1. Nvidia (1TB) https://www.bleepingcomputer.com/news/security/gpu-giant-nvidia-is-investigating-a-potential-cyberattack/ https://securityaffairs.co/wordpress/128456/cyber-crime/nvidia-ransomware-attack.html https://twitter.com/darktracer_int/status/1497464801877839872 https://blog.alyac.co.kr/4528?.. 베어메탈(Baremetal Server) https://library.gabia.com/contents/infrahosting/9335/ 가비아 라이브러리 IT 콘텐츠 허브 library.gabia.com 클라우드 환경에서 이용하는 물리 서버, Baremetal Server 베어메탈 서버는 가상화 되지 않은 물리 서버를 클라우드처럼 웹 콘솔에서 간편하게 신청하여 이용할 수 있는 인프라 서비스입니다. 고객은 전용 물리 서버를 이용할 수 있어 타 사용자의 간섭 없이 서버 성능을 온전히 누릴 수 있습니다. 베어메탈은 기본적으로 클라우드 서비스이기 때문에, 클라우드 서버와 연동할 수 있고 사용한만큼 비용을 지불합니다. 가상화 되지 않은 물리 서버를 단독으로 이용하기 때문에 클라우드 서버보다는 비용이 높습니다 테라폼 - 기초 튜토리얼 https://www.44bits.io/ko/post/terraform_introduction_infrastrucute_as_code 테라폼(Terraform) 기초 튜토리얼: AWS로 시작하는 Infrastructure as Code 테라폼(Terraform)은 인프라스트럭처를 선언적인 코드로 작성하고 관리할 수 있게 해주는 도구입니다. 이 글에서는 테라폼에 대해 소개하고, 이를 사용해 AWS 리소스를 정의하고 프로비저닝하는 방 www.44bits.io 악성코드, 훔친 NVIDIA 코드 서명 인증서 사용해 https://blog.alyac.co.kr/4539?category=750247 악성코드, 훔친 NVIDIA 코드 서명 인증서 사용해 Malware now using NVIDIA's stolen code signing certificates 공격자들이 훔친 NVIDIA 코드 서명 인증서로 악성코드에 서명해 해당 코드를 신뢰할 수 있는 것처럼 위장하고 악성 드라이버를 윈도우에 로드하는.. blog.alyac.co.kr TCP Middlebox Reflection for Amplified DDoS Attacks https://thehackernews.com/2022/03/hackers-begin-weaponizing-tcp-middlebox.html Hackers Begin Weaponizing TCP Middlebox Reflection for Amplified DDoS Attacks Attackers begin weaponizing TCP middlebox reflection to launch amplified DDoS attacks thehackernews.com TCP 미들박스 리플렉션 이라는 새로운 증폭 기술을 활용하는 DDoS(분산 서비스 거부) 공격 이 이론상 새로운 공격 메커니즘이 제시된 지 6개월 만에 처음으로 탐지되었습니다. 이 개발은 2021년 8월에 발표된 학술 연구 에 따라 미들박스 및 .. 이전 1 ··· 4 5 6 7 8 9 10 ··· 22 다음