분류 전체보기182 유명 패션 브랜드 게스도 다크사이드 랜섬웨어에 당했다 https://www.boannews.com/media/view.asp?idx=99033 유명 패션 브랜드 게스도 다크사이드 랜섬웨어에 당했다 패션 브랜드인 게스(Guess)가 지난 2월 랜섬웨어 공격에 당했던 사실이 이번 주 드러났다. 이 사건으로 게스에서 보관하고 있던 고객들의 개인정보 일부가 유출된 것으로 보인다. www.boannews.com 파이프라인 사태를 일으켰던 랜섬웨어 집단이 2월달에 게스도 공격했었으며, 이로 인하여 1천 3000여명의 개인정보가 새어나갔다. it뉴스 한줄 요약 2021. 7. 14. GS25, 이벤트 당첨자 2,000명 발표하며 개인정보 노출... 홈피에 공지 안해 https://www.boannews.com/media/view.asp?idx=98963 GS25, 이벤트 당첨자 2,000명 발표하며 개인정보 노출... 홈피에 공지 안해 GS25가 고객 대상 이벤트를 진행하면서 2,000명의 당첨자 개인정보를 노출한 것으로 알려져 문제가 되고 있다. 특히, GS25는 해당 문제를 인지하고도 별도의 공지 없이 개인정보가 노출된 피해자에 www.boannews.com 당첨자의 개인정보가 마킹되지 않고 당첨자의 이름과 핸드폰번호 2가지가 홈페이지에 공개되었다. it뉴스 한줄 요약 2021. 7. 12. OWASP TOP 10 1. OWASP란? 웹 어플리케이션 취약점 상위 10개 리스트 (2017년에 마지막으로 발표됨) 2. OWASP TOP 10 리스트 Injection(인젝션) Broken authentication (취약한 인증과 세션 관리) Sensitive data exposure (민감한 데이터 노출) XML external entities (XXE) (XML 외부 개체) Broken access control (취약한 접근 통제) Security misconfigurations (잘못된 보안 구성) Cross site scripting (XSS) (크로스 사이트 스크립팅) Insecure deserialization (안전하지 않은 역직렬화?) Using components with known vulnerabil.. 면접대비용 2021. 7. 5. [긴급] 대규모 공급망 공격 또 발생! IT 관리 SW 통해 랜섬웨어 연쇄 감염 https://www.boannews.com/media/view.asp?idx=98819 [긴급] 대규모 공급망 공격 또 발생! IT 관리 SW 통해 랜섬웨어 연쇄 감염 미국 IT 관리용 솔루션 제공 업체 ‘카세야(Kaseya)’의 VSA(IT 관리용 플랫폼) 제품이 랜섬웨어 유포 경로로 악용된 정황이 포착됐다. 이에 한국인터넷진흥원(KISA)은 해당 사항을 보안 공지하고 유 www.boannews.com 미국 IT 관리용 솔루션 제공 업체 ‘카세야(Kaseya)’의 VSA(IT 관리용 플랫폼) 제품이 랜섬웨어 유포 경로로 악용된 정황이 포착됨. DLL 사이드 로딩 기법 정상적으로 보이는 애플리케이션을 사용해 보안 솔루션들을 속임으로써 악성 DLL을 로딩하는 기법 DLL Dynamic Link Libra.. it뉴스 한줄 요약 2021. 7. 5. [웹모의해킹] 7. XSS(Relected,Stored) 1. Reflected XSS 1. 정의 - 일회성의 HTTP Request와 Response로 이루어진 공격 - 공격자가 악의적인 스크립트를 작성 하고 작성 후 웹 서버 측에 요청시 웹 응용 프로그램에서 피해자의 브라우저로 반사될 때 발생 일회성이며, 지속적이지 않음. 이메일 또는 웹사이트 등을 통해 공격자가 미리 준비한 링크를 사용자가 클릭하게끔 유도하는 방식 2. 실습 what's your name? 뒤에 dvwa를 넣게 되면 주소창에 dvwa가 그대로 출력됩니다. what's your name? 뒤에 alert 스크립트를 작성하여 alert창이 뜨게 할 수 있습니다. alert창이 나옵니다. a태그를 활용하여 페이지 내에 링크를 사용할 수 있습니다. 하단의 링크를 클릭하면 잘 나옵니다. cooki.. 보안 2021. 7. 5. ◇이글루시큐리티 선정 2021년 5대 기술·방법론 1. IT와 OT 환경을 아우르는 안정성을 확보하라 – 융합보안관제 2. AI 기술 활성화를 앞당겨라 – ‘설명 가능한 AI(XAI, eXplainable AI)’ 3. 안전한 데이터 활용을 위한 보안 대책을 마련하라 4. 보안관제 효율성을 극대화하라 – SOAR ‘SOAR (Security Orchestration, Automation and Response, 보안 오케스트레이션·자동화 및 대응)’ 복잡성, 업무 과부하 부담 해소, 고도화된 지능형 위협에 보다 기민하게 대응하며 보안 인력 부족과 인력 간 역량의 격차에 따른 문제점 해결. 5. 비대면 시대에 부합하는 디지털 신뢰 전략을 마련하라 출처:https://kfinews.kr/archives/3413 it뉴스 한줄 요약 2021. 7. 1. ◇이글루시큐리티 선정 2021년 5대 보안 위협 전망 1. 비대면 플랫폼 노린 보안 위협 대두 - 원격 화상 회의, VPN을 통해 사내 인트라넷 플랫폼에 접속해 업무 수행 - 초대받지 않은 외부인이 들어와 화상 수업·회의를 방해하거나 취약점을 익스플로잇해 비대면 애플리케이션을 장악하는 등의 공격 - 다크웹을 통해 탈취된 사용자 계정 정보와 내부 정보가 판매될 가능성 2. 코로나19 팬데믹 이슈를 악용한 공격 급증 코로나19와 연관된 정보로 가장한 악성 메일이 폭발적으로 증가 3. 정보기술(IT)와 운영 기술(OT)의 접점 확대, OT영역 노리는 사이버 위협 증가. 공격자들은 인터넷에 연결된 외부 시스템과 폐쇄된 내부망의 접점에서 발생할 수 있는 보안상 허점 이용해 폐쇄망 공격. 사건들 스턱스넷(2010) 블랙에너지(2015) 인터스트로이어(2016) 트라이.. it뉴스 한줄 요약 2021. 7. 1. Azure900 덤프 한글 번역본 정리_pdf 게시물에 있는 글과 같은데 답 체크 되어 있습니다. 뒤쪽으로 갈 수록 덤프랑 문제유형이 비슷하고 앞에 있는 문제들은 정리위주로 되어있습니다.. 만약 수정 사항있으면 말해주세요! 도움 많이 되셨으면 좋겠씁니다. 출처 : https://www.examtopics.com/exams/microsoft/az-900 AZURE 2021. 7. 1. [웹모의해킹] 6. Xss(DOM) 1. Xss(DOM) 1. 개념 피해자의 브라우저가 HTML 페이지를 구문 분석할 때마다 공격 스크립트가 DOM 생성의 일부로 실행되면서 공격함. 페이지 자체는 변하지 않으나, 페이지에 포함되어 있는 브라우저 측 코드가 DOM환경에서 악성코드로 실행됨. 2. DVWA 실습 3. 대응방안 3-1. 입,출력 값 검증 및 무효화 - 스크립트 등 해킹에 사용될 수 있는 코딩에 사용되는 입력 및 출력 값에 대해서 검증하고 무효화한다. - 입력 값에 대한 유효성 검사를 미리한다. - 태그 등 위험한 문자 입력 시에 문자 참조로 필터링하고 서버에서 브라우저로 전송시 문자를 인코딩한다. 3-2. 위험 문자 인코딩 보안 2021. 7. 1. [웹모의해킹] 5. Weak Session IDs 1. Weak Session IDs 1. 정의 - 웹 애플리케이션 구현에 있어 서비스에 접근하는 사용자의 인증 값이나 세션,쿠키 성장/관리 구현에서 발생하는 취약점을 공격하는 기법 - 비 인가자의 로그인 없이 서비스 페이지에 접근하거나 관리자 페이지까지 접근할 수 있음. 2. 세션 클라이언트와 웹 세션 간 일정 시간 동안의 연결방법 3. 쿠키 웹 서버에서 생성하며 웹 브라우저에 보내어 저장하며 서버의 부가적인 요청이 있을 때 다시 서버로 보내주는 문자열의 정보 4. 세션 vs 쿠키 5. DVWA 실습 6. 대응방안 - 세션 id를 공격자가 추측하기 어렵게 랜덤 생성 알고리즘 사용 - Rails와 Django 같은 프레임 워크를 사용하여 쿠키 서명 => 쿠키 변조 방지 보안 2021. 7. 1. 클라우드를 정상적으로 사용하기만 했을 뿐인데 피싱 공격이 가능하다 https://www.boannews.com/media/view.asp?idx=98454 클라우드를 정상적으로 사용하기만 했을 뿐인데 피싱 공격이 가능하다 구글 독스를 활용한 새로운 피싱 공격이 발견됐다. 피해자들에게는 일종의 피싱 이메일이 먼저 전달되는데, 여기에는 한 개의 링크가 걸려 있다. 구글 독스에 호스팅 되어 있는 문서로 연결되는 www.boannews.com 구글 닥스를 이용한 해킹 공격이 발생함. 이러한 클라우드를 이용한 피싱 공격은 해커에 의하여 계속 연구중임 구글닥스를 이용한 해킹 과정 1. 해커가 유저에게 피싱 이메일 전달 2. 유저가 이메일 내의 링크(구글 독스에 호스팅 되어 있는 문서로 연결된 링크) 클릭 3. 구글 독스 페이지로 넘어감 4. 다운 가능한 문서를 화면에서 볼 수 있.. it뉴스 한줄 요약 2021. 6. 22. ISMS-P 정보보호 통합 인증제도 ISMS : 정보보호 P : 개인정보보호 를 합친 말이다. 많은 사람들의 개인정보를 가지고 있는 기업일 수록 정보 유출시 많은 피해가 발생한다. 그렇기 때문에 체계화된 보안지침을 통하여 보안을 체계화 해야한다. 비용 : 1800만원 정도 (과태료 : 3000만원 이하) 유효기간 : 3년 정보보호 2021. 6. 22. 이전 1 ··· 10 11 12 13 14 15 16 다음