SQL 인젝션 생일 축하해, 해결할 수 없는 버그
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
SQL 인젝션 탄생 22주년입니다. 이 취약점을 충분히 마셔버릴 수 있을 만큼 오래되었음에도 불구하고 우리는 이 취약점을 영원히 부수는 대신 더 나은 결과를 가져오도록 내버려 두고 있습니다.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
