Presentation is loading. Please wait.

Presentation is loading. Please wait.

취약점 마켓 여상수.

Similar presentations


Presentation on theme: "취약점 마켓 여상수."— Presentation transcript:

1 취약점 마켓 여상수

2 취약점 정의 취약점을 가지지 않는 소프트웨어 제작은 불가능 , 하지만 권한 이상의 액세스를 가능하도록 만드는 코드 부분
보안 침해를 일으킬 수 있는 조건이나 행위들 취약점을 가지지 않는 소프트웨어 제작은 불가능 , 하지만 취약점의 정도나 개수는 줄일 수 있다 취약점을 고려하는 개발 과정에서 줄일 수 있다  시큐어코딩 그런 소프트웨어와 그렇지 않은 소프트웨어는 분명히 다르다

3 Grand Bazaar, Istanbul, Turkey
마켓  시장 Grand Bazaar, Istanbul, Turkey

4 취약점 마켓 아직 공개되지 않은 취약점을 발견했다면? 내 블로그에 공개한다 내가 이걸 사용해서 불법적인 이득을 노린다
소프트웨어 제작회사에 이메일로 알려준다 돈을 요구한다 or 안한다 거래가 가능한 곳에서 판매한다 ▶ 적법한 곳  화이트 마켓 ▶ 불법한 곳  블랙 마켓

5 취약점 판매 취약점의 가격 심각한 보안 문제를 야기할수록 가격은 높아진다 사용자가 많은 소프트웨어일수록 가격은 높아진다
찾기 어려운 것일수록 가격은 높다 아는 사람이 적을 수록 가격은 높아진다 < 시간 & 충격의 크기 > 시간이 지나면 누군가 발견할 수 있는 것은 가격이 낮다 많이 알려질 수록 가격은 떨어진다

6 거래는 어떻게 이루어지나 판매자는 누구? 구입자는 누구? 어떻게 서로 연락을 하는가? 가격을 어떻게 흥정하는가?
개발자 개인 해커 구입자는 누구? 개발회사 브로커 해커그룹 어떻게 서로 연락을 하는가? 가격을 어떻게 흥정하는가? 무엇을 주고 받는가?

7 가격 수준 (US dollar) Price and Range Minimum Buy Median Buy Maximum Buy
Maximum Sell Low 1 3 325 3,500 Median 713 8,169 5,874 1,033,857 High 25,000 150,000 75,250 6,000,000

8 Vulnerabilities giving direct access to Google servers
구글 취약점 보상 프로그램 - VRP Category Examples Applications that permit taking over a Google account [1] Other highly sensitive applications [2] Normal Google applications Non-integrated acquisitions and other sandboxed or lower priority applications [3] Vulnerabilities giving direct access to Google servers Remote code execution Command injection, deserialization bugs, sandbox escapes $20,000 $1,337 - $5,000 Unrestricted file system or database access Unsandboxed XXE, SQL injection $10,000 Logic flaw bugs leaking or bypassing significant security controls Direct object reference, remote user impersonation $7,500 $5,000 $500 Vulnerabilities giving access to client or authenticated session of the logged-in victim Execute code on the client Web: Cross-site scripting Mobile / Hardware: Code execution $3,133.7 $100 Other valid security vulnerabilities Web: CSRF, Clickjacking Mobile / Hardware: Information leak, privilege escalation $500 - $7,500 $500 - $5,000 $500 - $3,133.7


Download ppt "취약점 마켓 여상수."

Similar presentations


Ads by Google