| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
- GIT
- oracle
- Oracle SQL
- 자바스크립트 node
- 다크웹
- 깃허브
- 자바스크립트
- 자바스크립트 기본 문법
- 카카오프로젝트
- 랜섬웨어
- 오라클
- python
- ES6
- 자바스크립트 jQuery
- 자바스크립트 객체
- 자바스크립트 prototype
- 카카오프로젝트100
- 카카오프로젝트 100
- 보안뉴스
- 파이썬
- 자바스크립트 API
- 보안뉴스요약
- php
- oracle db
- numpy
- 자바스크립트 element api
- javascript
- 보안뉴스 요약
- 보안뉴스 한줄요약
- 보안뉴스한줄요약
- Today
- Total
목록보안뉴스 읽기 (144)
FU11M00N
[보안뉴스 요약] SK인포섹 “면접 준비는 소개팅 준비처럼 철저하게”
SK인포섹이 원하는 인재는 3가지 단어로 정의 내릴 수 있음. Passion(열정)’과 ‘Innovation(혁신)’, Expertise(전문기술)' SK인포섹 경영지원실의 김학성 수석은 이 3가지 중 특히 Passion이 가장 중요하다고 설명함. 김학성 수석은 자신의 한계를 너무 낮추는 지원자에게는 Innovation이, 그리고 너무 미래를 보느라 현재 기술을 놓치는 지원자에게는 Expertise가 필요하다고 설명했다. 하지만 Passion만 있다면 이 두 가지는 충분히 커버할 수 있다고 말씀함. (개인적인 의견이지만, 정말 좋은 말인듯..) 김학성 수석은 SK인포섹을 목표로 취업을 준비하는 지원자에게 조언을 했는데, 소개팅 얘기를 꺼냄. 소개팅을 하는것처럼 상대방의 취향,옷,좋아하는 음식 등 고민하는..
[보안뉴스 요약]해커들이 좋아하는 API 공격 방법 4가지
1. 코드 주입 특정한 상황에서 인증 정보가 없이도 로그인이 되도록 한다거나, 추가 멀웨어를 심는 게 ‘코드가 주입된 API’를 통해 가능해짐. API에 코드가 주입되었는지 아닌지를 확인하려면 여러 가지 ‘수동 점검’을 진행해야함. 2. 리플레이 요청 공격 첫 번째 악성 요청이 거부되더라도 공격자는 얼마든지 그 다음 요청을 전송할 수 있게 됨. 그래서 해커들이 선호함. 대응방안으로는 HMAC 인증을 활용해 요청 시도 제한 규정을 적용해야 함. 3. 요청 조작 공격 인증이 된 웹 애플리케이션(API와 같은)을 해커가 활용해 이메일 주소를 변경하거나 은행 계좌로부터 돈을 보내는 등의 결과를 이끌어 내는 공격 4. 사용자 인증 파괴 API 개발자들이 항상 인증 시스템에 철저하게 신경을 쓰는것이 아니기 때문에 ..
[보안뉴스 요약]메이즈 랜섬웨어의 은퇴 기념 트롤링? 자체 웹 사이트에 유출자료 공개
11월 1일에 은퇴를 선언한 랜섬웨어 조직 '메이즈'는 그동안 협상이 결렬된 기업 및 기관에서 유출한 정보를 다크웹이 아닌 메이즈 공식 사이트에 모두 공개 이들이 공격에 성공했다고 주장하는 기업에는 대표적으로 LG전자, SK하이닉스 미국법인, 캐논 미국법인등 이있음. 은퇴 선언을 공식적으로 발표함과 동시에 웹 사이트에 등록된 정보를 삭제하고 싶은 기업은 한달안에 연락을 하라고 최후통첩을 보냄. https://www.boannews.com/media/view.asp?idx=92570 메이즈 랜섬웨어의 은퇴 기념 트롤링? 자체 웹 사이트에 유출자료 공개 지난 11월 1일 ‘은퇴’를 선언한 메이즈 랜섬웨어 조직이 그동안 협상이 결렬된 기업 및 기관에서 유출한 정보를 다크웹이 아닌 메이즈 공식 사이트에 모두 공..
[보안뉴스 요약] 구글 크롬, 또 다시 제로데이 취약점 두 개 패치해
CVE-2020-16013 과 CVE-2020-16017 번호를 붙여 공개함. 두가지 취약점 모두 8.4점으로 고위험으로 분류됨. CVE-2020-16017은 일종의 UaF(User after Free) 취약점 사이트 격리 기능에서 발견됨. 원격의 공격자는 웹 페이지를 특수하게 하나 제작하고 피해자가 여기에 접속하도록 유도해야 한다. 피해자가 접속하는 순간 취약점이 발동되며 임의의 코드가 실행된다고 한다. CVE-2020-16013은 표준에 대한 보안 확인 기능이 제대로 구현되지 않아서 발생하는 문제라고함.구글은 자바스크립트와 웹어셈블리를 처리하는 크롬의 오픈소스 요소인 V8이 부적절하게 구현되었다는 설명함. https://www.boannews.com/media/view.asp?idx=92569 구글 ..
[보안뉴스 요약] 새로운 랜섬웨어 강자 후보? 페이투키에 주의하라
페이투키 랜섬웨어는 RDP 서비스를 익스플로잇 함으로써 피해자 네트워크에 침투해 감염의 피해를 최대하 시킴. 페이투키는 psexec라는 유틸리티를 사용해 횡적으로 움직이며 여러 시스템에 페이투키를 심음. 공격자들은 현재 토르 기반 웹사이트를 마련하여 정보를 노출시키고 있으며 피해 조직에 대한 상세한 정보와 함께 폴더 식으로 잘 정돈하여 공개하고 있음. 해당 공격은 이란 해커들이 배후에 있을 가능성이 높아 보인다. https://www.boannews.com/media/view.asp?idx=92571 새로운 랜섬웨어 강자 후보? 페이투키에 주의하라 지난 2주 동안 빠르게 퍼져가고 있는 신종 랜섬웨어에 많은 보안 전문가들의 이목이 집중되고 있다. 이미 이스라엘과 유럽의 대형 기업들이 여럿 당했으며, 곧 전..
[보안뉴스 요약] 페이스북 광고로 협박 내용 공개한 라그나로커 랜섬웨어
최근 라그나로커에 당한 이탈리아 양주 업체인 캄파리(Campari)에 “돈을 내지 않으면 2TB의 민감 데이터를 공개하겠다”고 정식으로 통보함. '이중 협박' 전략과 크게 다르지 않았지만 한 발 더 나아가 페이스북 광고가 활용되었음. 라그나로커는 페이스북 광고 채널을 통해 이러한 협박을 대대적으로 가함 라그나로커 운영자들은 페이스북 계정을 해킹한 후, 이 계정으로 광고 자리를 구매한 것으로 보인다. 이 협박 문구가 실린 광고는 페이스북의 사용자들 약 7천 명에게 노출되었으며 그 후 페이스북 측에서 광고를 내림. https://www.boannews.com/media/view.asp?idx=92536 페이스북 광고로 협박 내용 공개한 라그나로커 랜섬웨어 라그나로커(Ragnar Locker) 랜섬웨어 운영자..
[보안뉴스 요약]애플 고객센터로 위장한 피싱 발견 “개인정보 절대 입력 금지”
애플 기기를 노린 피싱사이트가 발견. 애플 기기는 악성 앱 설치를 통한 공격이 어려운 만큼 피싱 사이트를 제작해 사용자 계정과 비밀번호의 입력을 유도하는 방식 공격이 이루어짐. 안랩(대표 강석균)에 따르면 최근 공식 ‘애플 계정관리 페이지’로 위장해 사용자 개인정보와 금융정보 탈취를 시도하는 피싱 사이트를 발견했다함. 공격자는 공식 계정관리 페이지와 매우 유사한 피싱사이트를 제작해 메일 등으로 URL을 유포함. 안랩 ASEC대응팀 박태환 팀장은 “이번 피싱 사이트는 애플의 신제품 발표 시즌에 맞춰 고객센터를 사칭한 메일로 유포 될 가능성이 있다”며, “사용자는 출처가 불분명한 URL 접속은 자제하고 사이트 별로 다른 계정정보를 사용하는 등 보안수칙을 준수해야한다”고 말했다. http://blog.ahnl..
[보안뉴스 요약]미국 백화점 센추리21의 전 시스템 관리자, 유급 휴가 주려고 해킹
미국의 백화점 브랜드인 센추리21(Century 21)에서 악성 내부자 사건이 발생 전 시스템 관리자가 퇴사 후 회사의 비밀 네트워크에 불법으로 접속해 여러 가지 데이터를 조작. 센추리21의 직원이었을 때 나바로는 HR 시스템을 관리하는 역할을 담당함. 2012년부터 2019년 10월까지 근무했었고 그 기간 동안 회사의 데이터 관리 시스템이나 시간 관리 시스템에 자유롭게 접속할 수 있었음. 자기 후임자 역할을 했던 컨설턴드들이 센추리21의 컴퓨터 네트워크에 접속해 세부적인 구조와 요소를 파악하기 힘들게 만들기 위해 여러 데이터를 삭제 하기도함. 슈퍼유저 계정을 몰래 생성해 퇴사 후에도 회사 내부 네트워크에 들어와 데이터에 접근함. 뉴욕 주 대법원은 기소장을 통해 나바로를 2급 중절도죄로 입건 및 2급 고..