22015,

1/1101

prosper

http://cafe.naver.com/security

시간은 기다려주지 않는다.

http://www.hackerschool.org/HS_Boards/zboard.php?AllArticle=true&no=20324 [복사]

많은일들이 있는것 같네요.

밑에 몇몇 분들이 마찰있는걸 봤습니다.

한편으론 선배들이 잘 끌어주지 못해서 반복적으로 해킹사고가 발생하는게 아닌가 싶기도합니다.
한편으론 많은 보안연구그룹 (해킹/크래킹 아닌)이 많이 생겨난다는건 좋은일 이기도 합니다.

아마 대다수가 그렇듯이 지적호기심을 가지고 왕성하게 배움을 갈구하는 10대~20대 초반일때
단순 호기심에 인생을 망칠수도 있는 행동을 하지 않았으면 합니다.

팀으로 뭉쳐다니면 멋져보이나요? ^^
남들이 가지고 있지 않는 기술 가지고 있어서 우월한가요?
남들이 자신의 실력을 인정해 주지 않아서 화가 나나요?

그 시기가 지나가면...  언제그랬냐는듯이. 자신의 인생을 낭비 하지 않기 위해 열심히 삽니다.

해커나 크래커의 개념 따위는 아무래도 좋습니다.
일딴, 먹고 살아야 되니까요 ^^;

보안전문가(security specialist)를 목표로 공부 하시길 바랍니다.

해킹을 조금이나마 해보신분들이라면, "왜 이렇게 허술하게 만들었지?" 라는 의문이 들겁니다.

뚫는건 어렵습니다.
막는건 더 어렵습니다.

해킹은 10번 중 1번만 성공해도 성공이지만,
보안은 10번 중 1번만 실패해도 실패입니다.

완벽한것은 없습니다.
그러나 예방하고 대비 할 수 있는것을 나둘순 없지요.

왜 못막느냐고 하기 이전에 대비책을 만들고 좀더 견고하게 만들어주는 보안전문가가 되시기바랍니다.

현재 인터넷에 돌고 있는 해킹기법등 아무리 공부해봐야 보안전문가가 되긴힘듭니다.

웹해킹은 잘하는데 OS, 웹서버도 모르고, 웹언어도 모르고, RDBMS도 모르는데, 어떻게 막으라고 조언하겠습니까?

단순하게.......     apache 2.x 버전에서는 이런저런 취약점이 있어서 이렇게 하면 뚤린다.
                        xxx 보드의 취약점이 있어서 이렇게 저렇게 하면 Webshell을 딸수있다.
                       mysql-php 에서 query구문 예외처리를 제대로 안해서  ' or 1=1-- 넣으면 로그인되더라.
                       web-proxy로 입력값을 이렇게 조작하면 된다.
                       mas SQL injection은 어떻게 하면 들어가지고... 이걸 이용하면 서버 뚫을수있다.
                       XSS 이용하면 관리자로그인도 된다.
                      upload/download 이용하면 webshell 딸 수있다.
                      필터 우회는 어떤어떤 인자를 써서 우회 할수 있다.
                      각 데몬의 취약점이 뭐뭐가 있는데 그걸 사용하면 root 딸 수 있다.
                      실행 프로그램 ollyDBG 이용해서 JNZ를 JMP또는 NOP로 바꾸면 인증 크래킹된다.
                      network packit을 조작해서 게임 해킹을 할 수 있다.
                      치트엔진을 사용하면 온라인 게임을 해킹할수 있다.
                     GG 1004 버전은 어떻게 하면 우회 할 수 있고 dll injection 시킬수 있더라.
                     ActiveX OCX 중 취약한게 있으면 인자값 조작으로 권한 상승 시킬수 있다.

이런게 자신의 지식이라 생각하나요? 아니면 know-how 인가요?
요즘은 인터넷이 잘 발달되서 know-where 인거 같네요^^

자,  위에 열거한 것들은 조금만 검색해보고, 실제 몇번 해보면 누구나 다 할 수있는것들? 입니다.
물론 이해하는데는 조금 시간이 걸리겠지요?

위의 내용을 발생 안하게 할려면 어떻게해야 할까요?

"철저한 검증으로 막으면됩니다." -> 정답인가요?

왜? 단순한 정답을 많은 개발자?또는 엔지니어들이 못할까요?

그런 보안가이드는 누가할까요?

아쉽게도 한국에는 제대로된 보안전문가가 별로 많지 않습니다.

OS에 취약점이 있는데 뚤린다면,,,, 커널 업데이트 하라고 권고만 하면 끝일까요?
커널 업데이트를 못하는 상황에선 어떻게 대비를 해야 할까요?

이러한 최선책,차선책, 최악의 조건에서도 어떻게든 대비할 수있도록 가이드 해야됩니다.
그게 보안전문가이니까요^^

이쯤 되면 머리가 아프지 않나요?

뉴스에 해킹사고로 이름한번 올라가면... 취직 잘 될것 같나요? /^^
사람들이 대단하다고 칭찬해줄것 같나요?

범죄자일뿐입니다.

시간을 낭비 하지 마세요.
자신과 남 그리고 모두가 좋아지는 일에 투자하세요^^

제가 이러한글을 남기는것도
저 역시 조언을 듣고 배웠던 것처럼

앞으로 보안이란 직종에서 열심히 일할 후배님들에게 드리는 말입니다.

쓰다보니 길어졌네요. 뜻이 잘 전달 되었을지 걱정됩니다.

내일 죽을 수도 있다는 생각으로 하루하루를 열심히 사세요. 후회 하지 않도록.

Hit : 7602 Date : 2011/03/24 10:36


BkeMan	네 좋은 조언 감사합니다~	2011/03/24
U_SoRang	제일 가슴에 와닿는 말씀입니다... 충고 & 조언 감사드립니다, 선배님... 선배님을 뒤따라 갈 수 있도록 노력하겠습니다. 덧> SQL 구분이 보이네요..ㅎ	2011/03/24
lMaxl04	좋은말씀 감사합니다 ^^ 아직 어리신분들이라면, 또한 그 직업을 가지고 싶으신분들이라면 새기고 또 새겨야 할 글이네요	2011/03/24
imfast	좋은말씀 감사드려요!	2011/03/25
DeathStalker	좋은 조언이네요 ㅎㅎ 저도 후배로써 잘 새겨 듣고 갑니다~ ㅎㅎ	2011/03/25
decide01	오랜만에 해쿨와서 좋은 글 보고 갑니다 :)	2011/03/26
푼수왕자	좋은 글 감사합니다. 마음에 새겨야 할 이야기 입니다. 정말 먹고 살기 힘들더라고여~ ^^ 28후반에 접어든 ㅋㅋ	2011/03/26