Home > Àüü±â»ç

¾ÖÇø®ÄÉÀ̼ǿ¡ ºñ¹Ð½º·± °ø°Ý

ÀÔ·Â : 2008-07-31 11:23
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

Security Analysis - Application Security

 

»ó¾÷¿ë ¼ÒÇÁÆ®¿þ¾îÀÇ º¸¾È°ú ÁúÀº Áö³­ ¸î ³â °£ ¶Ñ·ÇÇÏ°Ô °³¼±µÇ¾î ¿©·¯ ÀϹÝÀûÀÎ °ø°Ý º¤ÅÍÀÇ »ýÁ¸·ÂÀ» °¨¼Ò½ÃÄ×´Ù. ±×·¯³ª ÃÖ±Ù ¿¬±¸ÀÚµéÀº ¾ÖÇø®ÄÉÀÌ¼Ç ·¹º§ °ø°Ý¿¡ ÃÊÁ¡À» ¸ÂÃç Áõ°¡ÇØ¿Â ²ûÁ÷ÇÏ°í ÀáÀçÀûÀÎ ¼ö¸¹Àº Á¾·ùÀÇ °ø°ÝµéÀ» ¹ß°ßÇß´Ù.

 

ÀÌ·¯ÇÑ Çö»ó¿¡ °üÇÑ °¡»ó ÃÖ±ÙÀÇ ¿¹´Â NGS SoftwareÀÇ µ¥ÀÌÅͺ£À̽º º¸¾È Àü¹®°¡ µ¥À̺ø ¸®Ä¡Çʵå(David Litchfield)°¡ Áö³­ 4¿ù ¸»¿¡ ¹ß°ßÇÑ ·¡ÅÍ·² SQL ÀÎÁ§¼Ç(lateral SQL injection)À̶ó ºÒ¸®´Â °ø°ÝÀÌ´Ù. ÀÌ ±â¼ú·Î °ø°ÝÀÚµéÀº µ¥ÀÌÅͺ£À̽º¿¡¼­ ÀÓÀÇÀÇ ¸í·ÉÀ» ¼öÇàÇϵµ·Ï ¿À¶óŬ(Oracle)ÀÇ PL/SQL ¾ð¾îÀÇ Æ¯Á¤ÇÑ µ¥ÀÌÅÍ À¯ÇüÀ» Á¶Á¾ÇÒ ¼ö ÀÖ´Ù. ¹®Á¦´Â ³¯Â¥(DATE)³ª ¼ýÀÚ(NUMBER)¿Í °°Àº µ¥ÀÌÅÍ À¯ÇüÀº ¾ÈÀüÇÏ´Ù°í »ý°¢µÇ¾îÁ³¾ú´Ù´Â Á¡ÀÌ´Ù.

¸®Ä¡Çʵå´Â ¡°¿¹¸¦ µé¾î ÀÌ°ÍÀº Á÷Á¢ÀûÀÌ ¾Æ´Ï¶ó À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» ÅëÇÑ SQL ÀÎÁ§¼Ç °áÁ¡ µîÀ» ÅëÇØ ¿ø°ÝÀ¸·Î Á¶Á¤µÉ ¼ö ÀÖ´Ù¡±¸ç ¡°¿ì¼±, ÀÓÀÇÀÇ SQLÀ» ½ÇÇàÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â Ã˸Š±â´ÉÀ» ½ÇÇàÇϱâ À§ÇØ »ðÀÔ ÁöÁ¡À» ÀͽºÇ÷ÎÀÌÆ®ÇÑ ÈÄ ÀÌ ±â¼úÀ» »ç¿ëÇÒ ¼ö ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.

 

¶ÇÇÑ Áö³­ 4¿ù IBMÀÇ ISS X-Force ÆÀ ¿¬±¸¿ø ¸¶Å© ´Ù¿ìµå(Mark Dowd)´Â ³í¹®À» ÅëÇØ ¾ÖÇø®ÄÉÀ̼ǿ¡¼­ ³Î Æ÷ÀÎÅÍ µð·¹ÆÛ·±½º(NULL pointer dereference)¸¦ ÀͽºÇ÷ÎÀÌÆ®ÇÏ´Â ±â¼úÀ» Áõ¸íÇß´Ù. ÀÌ ±â¼úÀº ÀÌÀü¿¡´Â ¾ÈÀüÇÏ´Ù°í »ý°¢µÇ¾ú´ø °ÍÀ» ÀͽºÇ÷ÎÀÌÆ®ÇÑ´Ù´Â ¸é¿¡¼­ ¸®Ä¡ÇʵåÀÇ °Í°ú °°´Ù. ´Ù¿ìµåÀÇ °ø°ÝÀº º»·¡ ¾îµµºñ Ç÷¡½Ã(Adobe Flash)ÀÇ °áÁ¡À» ÀͽºÇ÷ÎÀÌÆ®Çϱâ À§ÇØ °í¾ÈµÇ¾úÀ¸³ª ´Ù¸¥ ¾ÖÇø®ÄÉÀ̼ǵéÀÇ À¯»çÇÑ °áÁ¡¿¡ ´ëÇؼ­µµ Àû¿ëµÉ ¼ö ÀÖ´Ù.

 

¸¶Å¸»ç³ë ½ÃÅ¥¸®Æ¼(Matasano Security)ÀÇ Ã¥ÀÓÀÚ Åè Æļ½(Tom Ptacek)Àº ¡°³Î Æ÷ÀÎÅÍ´Â ¼º¿ª°úµµ °°Àº Á¸Àç¿´´Ù. ¿Ö³ÄÇÏ¸é ¿ì¸®´Â ±×°ÍÀ» Ç×»ó º¸°í Àֱ⠶§¹®ÀÌ´Ù¡±¶ó¸ç ¡°¸¶Å© ´Ù¿ìµå°¡ Çس½ °ÍÀº ´Ù¸¥ ¸ðµç Ãë¾à¼º ¿¬±¸ÀÚµéÀÌ ¸·Çû´ø °÷¿¡¼­ ÇÑ °ÉÀ½, ¾Æ´Ï ±×º¸´Ù ´õ ¸Ö¸® ³ª¾Æ°£ °ÍÀÌ´Ù. ³î¶ó¿î ÀÏÀÌ´Ù. ÀÌ·¯ÇÑ °í(ÍÔ) ·¹º§ÀÇ ¾ð¾îµéÀÌ Ãë¾àÇÏ´Ù´Â ¹ß°ßÀº ¾öû³­ °ÍÀÌ´Ù¡±¶ó°í ¸»Çß´Ù.

 

Àü¹®°¡µéÀº ¼ÒÇÁÆ®¿þ¾î ¾÷üµéÀÌ °è¼ÓÇؼ­ ¾ÈÀüÇÑ ÄÚµù ¹æ¹ýÀ» »ç¿ëÇÏ¸ç °³¹ßÇÏ°í µµÀÔ Àü¿¡ º¸¾È ¸®ºä¸¦ °ÅÄ¡´Â ¾ÖÇø®ÄÉÀ̼ÇÀ» »ý»êÇÔ¿¡ µû¶ó ÀÌ¿Í °°Àº ±³¹¦ÇÑ »õ·Î¿î °ø°Ý ºÎ·ùµéÀÌ ¾ÕÀ¸·Î º¸´Ù ÀϹÝÀûÀ¸·Î »ç¿ëµÉ °ÍÀ̶ó°í ¸»Çß´Ù. ÀÌ·¯ÇÑ ¹æ¹ýµéÀº °¡Àå ÀϹÝÀûÀÎ ÄÚµù ¿¡·¯µéÀ» Àâ¾Æ³»±â À§ÇØ °í¾ÈµÇ¾î °ø°ÝÀÚµéÀÌ ÀͽºÇ÷ÎÀÌÆ®Çϱ⠰¡Àå ½¬¿î ±æÀ» Á¦°ÅÇÏ°í ÀÖ´Ù. ±×·¯³ª ÀÌ·¯ÇÑ ÀÔ±¸µéÀ» Æó¼âÇÔ°ú ´õºÒ¾î »õ·Ó°í º¸´Ù ´«¿¡ ¶çÁö ¾Ê´Â ¹®µéÀÌ ¹Ýµå½Ã ¿­¸®°Ô µÉ °ÍÀÌ´Ù.

<±Û¡¤µ¥´Ï½º ÇǼÅ(Dennis Fisher)>

 

Copyright ¨Ï 2006 Information Security and TechTarget

[Á¤º¸º¸È£21c Åë±Ç 96È£(info@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)