SQL 인젝션 생일 축하해, 해결할 수 없는 버그
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
SQL 인젝션 탄생 22주년입니다. 이 취약점을 충분히 마셔버릴 수 있을 만큼 오래되었음에도 불구하고 우리는 이 취약점을 영원히 부수는 대신 더 나은 결과를 가져오도록 내버려 두고 있습니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드
%20(1).avif)
.avif)
