취약점 마켓 여상수.

Slides:



Advertisements
Similar presentations
Web Based Data Warehouse Query Tool 이화여자대학교 2002 년 컴퓨터학과 졸업프로젝트 14 조.
Advertisements

ㅋㅋ 다른 집단과 명확히 구별되는 가치체계와 지식 그리고 그에 부합하는 기술을 가지고 있어야 한다. 가치체계 - 사회복지사윤리강령, 선서 등 기본요소 완성 지식 - 사회복지사 1 급 자격증 시험으로 완성 기술 - 명확하지 않으나 실습, 보수교육을 통해 완성 Client.
RefWorks RefWorks 주요기능 참고문헌 수집과 관리 - 레퍼런스 ( 저널논문, 단행본 등의 서지정보 ) 를 온라인상에서 관리 - 국내외 학술 DB 에서 검색한 레퍼런스를 자동 저장 - 주제별 폴더를 생성하여 레퍼런스를.
도 경 화 제 3 장 접근통제. Copyright © 2008 Do.KH :: 도경화 :: 2 접근통제.. 다양한 보안기술이 발전한 이유.. 접근통제 목적, 필요성 …  책임추적성 - 시스템.
남진우 저축-재테크의 시작 남진우
MO/MT를 활용한 Call Center 제안
발표 순서 1 개 요 2 설계 단계에서 피로 건전성 평가 운영 단계에서 피로 건전성 평가 및 관리 3 4
PART
영상 광고사업 추진계획 2010 ㈜ 지오피스
Nortelnetworks VPN & Firewall Contivity 1100.
APPEON SOLUTION INTRODUCTION.
제4장 바람직한 글로벌 협상자.
Safecode® 3.0 ㈜코드원 웹 애플리케이션 취약점 제거 및 관리 솔루션
개발자에게 SharePoint Services 란 무엇인가?
웹사이트 구축 제안서 (결혼정보 사이트구축) First Web Agency.
SQL*Plus - Oracle ISQL -
Operating Systems Overview
★ Basic Function4 1 Posting Tips 2 Currency 3 Tax.
Web Servers (IIS & Apache)
12. 데이터베이스 설계.
OWASP Mobile TOP 10 학번 : 이름 : 공 우 진 발표일 :
125. WAPPLES Policy Setting Guideline
Youngmin Jung 웹 서버를 위한 웹 기반 단일인증시스템 설계 Youngmin Jung
InstallShield Professional Services ( Services Pack / Education / Consulting ) ㈜소프트뱅크 커머스.
ASP 정 보 보 호 학 과 양 계 탁.
NTAS 소개 (Network Transaction Application Server)
BPMS의 이해 (Business Process Management System)
CRM에서의 Data Quality Management
독도 바로알기 2. 사료와 지도로 보는 독도.
2장 운영 체제의 개요 운영체제의 개념 운영체제의 유형 운영체제의 발전 과정 운영체제의 구성 운영체제 서비스 시스템 구조
선진사 Benchmarking 결과보고 통합 ERP 구축 전담반.
(Network Transaction Application Server)
Web상에서의 Network Management
침입탐지시스템과 정보보안 안
제9장 네트워킹 숙명여대 창병모 2011 가을.
04장 웹 보안: 웹, 그 무한한 가능성과 함께 성장한 해킹
Mobile Consumer Trends 2007
VM? Virtual..?? Vulnerability Analyst Diary
객체 지향 프로그래밍.
제 1 장 소 개 시스템 분석 및 설계 허철회 2006학년도 2학기 상주대학교 컴퓨터공학과.
Ataturk Airport Terror
? SMB (Server Message Block)
Web Vulnerabilities 정보 보호 2008/05/31 Getroot.
리눅스: Lecture 1 강의개요 중앙대학교 컴퓨터공학부 손 봉 수 교수.
FireWall / VPN Solution
연구를 위한 준비 참고문헌 카드 만들기.
김 정 석 Web Programming 김 정 석
제8장 네트워킹 숙명여대 창병모
UI 테스트 자동화(Coded UI Test)를 통한 품질 혁신 가이드
NTAS 소개 (Network Transaction Application Server)
연습 문제 풀이 헥사 값의 의미 FTP 응답 코드의 의미 분석 (a) D 0A (b)
XSS (Cross Site Script)
MIDP-MOBILE INFORMANTION DEVICE PROFILE
시스템 분석 및 설계 글로컬 IT 학과 김정기.
SQL INJECTION MADE BY 김 현중.
2016년 1학기 온라인 연구실 안전교육 참여안내(내국인/외국인)
BMJ Best Practice - Your instant second opinion
PhoeniX Technologies Incorporated
권효중 iBATIS.NET & Spring.NET 권효중
탄력성과 그 응용.
1. 시스템 카탈로그 (1) 시스템 카탈로그의 정의 ① 데이터베이스 시스템에서 데이터가 실제로 읽혀지거나 수정되기 전에 먼저 참고 되는 파일 ② 카탈로그에 저장된 데이터를 메타데이터라고 함 ③ 카탈로그가 생성되면 자료 사전 (Data Dictionary) 에 저장 되므로.
XSS 정 여 진.
Dept. of Internet Information Eng.
Database as Enterprise Models
6장 정보분류 신수정.
7/25/2019 경계선 방어 기술 공급원 May
SQL Server Security Drilldown
유예 X-FILE *조사자* 1301권희원 1315이예지 1317장아정 1322홍자현.
大鵬(대붕) 김 시 습 국어국문학과 이준석.
2장. 데이터베이스 관리 시스템 데이터베이스 관리 시스템의 등장 배경 데이터베이스 관리 시스템의 정의
Presentation transcript:

취약점 마켓 여상수

취약점 정의 취약점을 가지지 않는 소프트웨어 제작은 불가능 , 하지만 권한 이상의 액세스를 가능하도록 만드는 코드 부분 보안 침해를 일으킬 수 있는 조건이나 행위들 취약점을 가지지 않는 소프트웨어 제작은 불가능 , 하지만 취약점의 정도나 개수는 줄일 수 있다 취약점을 고려하는 개발 과정에서 줄일 수 있다  시큐어코딩 그런 소프트웨어와 그렇지 않은 소프트웨어는 분명히 다르다

Grand Bazaar, Istanbul, Turkey 마켓  시장 Grand Bazaar, Istanbul, Turkey

취약점 마켓 아직 공개되지 않은 취약점을 발견했다면? 내 블로그에 공개한다 내가 이걸 사용해서 불법적인 이득을 노린다 소프트웨어 제작회사에 이메일로 알려준다 돈을 요구한다 or 안한다 거래가 가능한 곳에서 판매한다 ▶ 적법한 곳  화이트 마켓 ▶ 불법한 곳  블랙 마켓

취약점 판매 취약점의 가격 심각한 보안 문제를 야기할수록 가격은 높아진다 사용자가 많은 소프트웨어일수록 가격은 높아진다 찾기 어려운 것일수록 가격은 높다 아는 사람이 적을 수록 가격은 높아진다 < 시간 & 충격의 크기 > 시간이 지나면 누군가 발견할 수 있는 것은 가격이 낮다 많이 알려질 수록 가격은 떨어진다

거래는 어떻게 이루어지나 판매자는 누구? 구입자는 누구? 어떻게 서로 연락을 하는가? 가격을 어떻게 흥정하는가? 개발자 개인 해커 구입자는 누구? 개발회사 브로커 해커그룹 어떻게 서로 연락을 하는가? 가격을 어떻게 흥정하는가? 무엇을 주고 받는가?

가격 수준 (US dollar) Price and Range Minimum Buy Median Buy Maximum Buy Maximum Sell Low 1 3 325 3,500 Median 713 8,169 5,874 1,033,857 High 25,000 150,000 75,250 6,000,000

Vulnerabilities giving direct access to Google servers 구글 취약점 보상 프로그램 - VRP Category Examples Applications that permit taking over a Google account [1] Other highly sensitive applications [2] Normal Google applications Non-integrated acquisitions and other sandboxed or lower priority applications [3] Vulnerabilities giving direct access to Google servers Remote code execution Command injection, deserialization bugs, sandbox escapes $20,000 $1,337 - $5,000 Unrestricted file system or database access Unsandboxed XXE, SQL injection $10,000 Logic flaw bugs leaking or bypassing significant security controls Direct object reference, remote user impersonation $7,500 $5,000 $500 Vulnerabilities giving access to client or authenticated session of the logged-in victim Execute code on the client Web: Cross-site scripting Mobile / Hardware: Code execution $3,133.7 $100 Other valid security vulnerabilities Web: CSRF, Clickjacking Mobile / Hardware: Information leak, privilege escalation $500 - $7,500 $500 - $5,000 $500 - $3,133.7