lascomco의 등록된 링크
lascomco로 등록된 네이버 블로그 포스트 수는 56건입니다.
[국제고속인터넷] CDN으로 해결 안됐던 네트워크, 차이나커넥트 국제고속인터넷으로 해결하세요! [내부링크]
안녕하세요. 중국 진출을 위한 클라우드・네트워크 파트너 라스컴입니다. 중국으로 진출한 많은 기업들의 ...
[SD-WAN] 고객 맞춤형 국제전용회선, 차이나커넥트 Managed SD-WAN으로 빠르게 해외・중국전용선 도입하세요! [내부링크]
안녕하세요. 중국 진출을 위한 클라우드 ・ 네트워크 파트너 라스컴입니다. 해외에 지사를 두고 있는 기업...
[중국전용선] 빠른 고객 대응으로 중국 전용회선 사용하세요! 차이나커넥트 MPLS-VPN 소개 및 도입 사례 [내부링크]
안녕하세요. 고객의 중국 진출에 필요한 해외 네트워크 서비스 전문기업 라스컴입니다. 한국 본사와 중국을...
[ICP 비안] 중국 사업 필수 준비 사항! 중국 ICP 비안 신청 전 준비사항 3가지 [내부링크]
안녕하세요! 산업통상자원부/중소 벤처기업부 선정 수출 바우처 공식 수행기관 라스컴입니다! 최근 많은 기...
[알리바바클라우드] 중국 클라우드 시장 현황 정리! 알리바바클라우드가 중국에서 대세일 수 밖에 없는 이유 2가지 [내부링크]
안녕하세요. 알리바바 클라우드의 한국 공식 파트너사 라스컴입니다! 최근 기업들 사이에서 클라우드 서비...
[기업용고속VPN] 중국 정부에서 허가한 VPN으로 ERP,SaaS 이용하세요! [내부링크]
안녕하세요. 중국 진출을 위한 클라우드・네트워크 파트너 라스컴입니다. COVID-19가 지속됨에 따라 ...
[ Web 취약점 진단 ] Cross Site Request Forgery (CSRF) [내부링크]
Cross Site Request Forgery (CSRF)입력값 검증위험도 상1. 취약점 개요서버에 전달되는 입력값에 악의적인 스크립트를 포함시켜 해당 스크립트를 실행시키는 취약점이다. 이 취약점을 이용하여 사용자 정보 변경 등 악의적인 행위가 가능하다.2. 취약점 진단① 공격자가 악의적인 스크립트를 포함한 게시글을 작성한다.② 사용자가 게시판 페이지에서 해당 게시글을 확인한다.③ 악의적인 스크립트가 실행되어 사용자 정보가 변경된다.보안하는 노하우!
중국에서 한국 그룹웨어, ERP 끊김 없이 접속하려면? [내부링크]
중국 지법인에서 한국 본사 그룹웨어, ERP 접속 시 느리고 끊기는 문제점 해결 방안 및 사례안녕하세요. 알리바바 클라우드 한국공식파트너 라스컴입니다.공들여 업무 메일을 작성한 뒤 발송 버튼을 눌렀는데 "발송 중" 에서 멈춰버린 경험이 있으신가요?중국에서 한국 업무 시스템을 사용하시는 분들이라면 자주 겪으실 현상입니다.한국에서는 메일을 바로 재 발송 하면 되지만 중국에서는 수 분에서 수십 분 이상을 기다려야 하는 경우도 있습니다.우리를 힘들게 하는 대표적 현상들1) 중국지사에서 국내본사 서버 접속시 ping loss 및 지연2) 중국법인에서 한국본사 그룹웨어/ERP/웹사이트 등 접속 시 느리고 끊기는 불편 사항.......
[ 보안뉴스 ] 서두르는 문화의 어두운 단면, 보안 취약점 'XSS' [내부링크]
1. 서두르는 문화의 어두운 단면, 보안 취약점 'XSS'"서두르는 문화의 어두운 단면, 보안 취약점 'XSS'", 보안뉴스, 2020년 06월 19일 수정, 2020년 06월 24일 접속,https://www.boannews.com/media/view.asp?idx=89102&page=2&mkind=1&kind=1.XSS(Cross Site Scripting)가 세상에 처음 알려진 건 2000년 1월 16일이었으니, 이미 청년의 나이와 맞먹는 시간이 지났다. 2007년에는 웹 기반 애플리케이션 계통에서 가장 흔히 나타나는 취약점으로 꼽히기도 했고 그 악명은 아직까지 유지되고 있다. 개발자나 보안 팀은 이러한 XSS 공격에 대하여 어떤 방어 태세를 취해야 할까? 가.......
중국 전용선으로 중국과 한국 서버를 끊김 없이 연결하세요 [내부링크]
중국 서버와 한국 서버 연결 시 느리고 끊기는 문제점 해결 방안 및 사례안녕하세요. 알리바바 클라우드 한국공식파트너 라스컴입니다.한국에 구축된 시스템을 중국으로 확장하고자 하는 고객들이 고민하는 부분 중 하나가 안정적 네트워크 구성 입니다.이미지 서버 또는 DB를 중국에 새로 구축하여 이원화 운영할지, 한국에서 중국 서버와 연결할지 고민되는 부분이죠.한국 서버를 중국 서버와 공용 네트워크(Public Network)로 연결 시 만리방화벽으로 인해 발생하는 패킷 로스는 네트워크 구성에서 주요한 이슈로 간주되고 있습니다.중국의 네트워크안전법 상 중국에서 수집한 개인정보는 중국 내 서버에 보관해야 하는 것이 원칙입니다.이.......
빠르고 저렴한 한중 회선 서비스 ‘차이나커넥트’ 2.0 출시 [내부링크]
라스컴, 빠르고 저렴한 한중 회선 서비스 ‘차이나커넥트’ 2.0 출시알리바바 클라우드 한국공식파트너이며 중국 IT 전문기업인 라스컴은 한국과 중국을 연결하는 빠르고 저렴한 통신 회선 서비스인 ‘차이나커넥트’ 2.0(ChinaConnect.kr)을 다음 달 1일 출시한다고 밝혔다. 중국 전용선 ‘차이나커넥트’ 2.0(ChinaConnect.kr)은 기존 고객들의 요구사항이 반영된 신규 기능이 대폭 추가되어 고객의 다양한 환경과 수준을 맞출 수 있는 맞춤 중국네트워크 서비스이다. 지난 달 특허청 상표 등록을 완료하였다. 중국에서는 해외 네트워크 이용 시 미 허가 VPN 사용은 불법이다. 예를 들면 외부 사업자의 VPN 서비스를 이용하거나 기업이 자가.......
[ 보안뉴스 ] 아직도 다수의 기업은 사이버 공격에 구체적 '대응 계획'이 없다 [내부링크]
1. 아직도 다수의 기업은 사이버 공격에 구체적 '대응 계획'이 없다"아직도 다수의 기업은 사이버 공격에 구체적 '대응 계획'이 없다", 보안뉴스, 2020년 07월 01일 수정, 2020년 07월 13일 접속,https://www.boannews.com/media/view.asp?idx=89420&page=6&mkind=1&kind=3.IBM 시큐리티는 최근 포네몬 연구소(Ponemon Institute)를 통해 진행한 글로벌 기업 설문조사 결과, 지난 5년간 기업의 사이버 공격에 대한 대비, 탐지 및 대응 능력은 향상되었으나, 공격 억제 능력은 오히려 13% 감소했다고 발표했다. 또한, 지나치게 많은 보안 툴의 사용과 주요 공격 유형에 대한 구체.......
중국 ICP 비안(备案) 신청 방법과 조건 [내부링크]
안녕하세요. 알리바바 클라우드 한국공식파트너 라스컴입니다.오늘은 ICP 라이선스 관련하여 주로 궁금해 하시는 사항들에 대해 설명 드리겠습니다.1) ICP 라이선스(비안, 경영허가증)란2) ICP 라이선스 취득 절차3) ICP 비안을 보다 쉽게 취득할 수 있는 방법중국의 ICP 라이선스 란 무엇인가요?ICP는 인터넷 콘텐츠 공급자(Internet Content Provider)를 의미합니다. ICP 라이선스는 중국에서 웹 사이트를 합법적으로 운영 할 수 있도록 지방 정부에서 발행하는 등록증 입니다. ICP 라이선스가 있으면 중국 본토의 서버에서 웹 사이트를 호스팅 할 수 있습니다. 중국에 전자 상거래 사이트가 있는 모든 비즈니스에는 ICP 라이선스가 필.......
자꾸 끊기는 중국 화상회의 품질문제 개선하려면? [내부링크]
스카이프를 이용한 한국-중국간 원격 영상회의(화상회의)시 느리고 멈추는 문제점 해결 방안 및 사례안녕하세요.알리바바 클라우드 한국공식파트너 라스컴입니다.많은 기업들이 스카이프, 웹엑스,MS팀즈, 줌, 리모트미팅 등의 솔루션을 활용하여 국가 간 영상 회의를 진행합니다.하지만 중국과의 화상회의 도중 음성과 영상이 반복적으로 끊기는 현상으로 인해 회의 때마다 문제를 겪는 경우가 많습니다.이는 해당 솔루션의 문제가 아니며 중국 네트워크의 특수성으로 인해 발생합니다.한국과 중국 간 일반 국제 통신 네트워크는 시간대 별 속도 편차가 대단히 크고 패킷 손실에 의한 레이턴시, Jitter 가 나타나는 것이 특징입니다.일반 국.......
[ 보안뉴스 ] 취약점 관리, 숫자의 논리로 접근하는 건 지양해야 한다 [내부링크]
1. 취약점 관리, 숫자의 논리로 접근하는 건 지양해야 한다"취약점 관리, 숫자의 논리로 접근하는 건 지양해야 한다", 보안뉴스, 2020년 03월 25일 수정, 2020년 03월 25일 접속,https://www.boannews.com/media/view.asp?idx=87182&page=1&mkind=1&kind=1.취약점 관리에 실패하는 가장 큰 요인 중 하나는, 성과를 숫자로 매기려는 습성 혹은 문화다. 발굴하거나 패치한 취약점의 숫자 자체가 성과의 척도가 된다. 많이 패치하면 많이 한 것처럼 보이고, 적게 하면 일을 안 한 것처럼 보인다. 하지만 많은 취약점을 패치했다고 실제 위험성이 줄어드는 건 아니다. 보고하기 위해, 혹은 발표하기 위.......
[ Web 취약점 진단 ] SQL Injection ③ [내부링크]
SQL Injection입력값 검증위험도 상4. 취약점 진단 ③① 게시판 페이지에서 게시글을 확인한다.② 입력값을 통해 SQL 문을 변조한다.③ 사용자 정보를 탈취한다.보안하는 노하우!
[ 보안뉴스 ] 최근 사이버공격 동향 '홈페이지를 통한 내부망 장악'...어떻게 이루어지나 [내부링크]
1. 최근 사이버공격 동향 '홈페이지를 통한 내부망 장악'...어떻게 이루어지나"최근 사이버공격 동향 '홈페이지를 통한 내부망 장악'...어떻게 이루어지나", 데일리시큐, 2020년 04월 02일 수정, 2020년 04월 14일 접속,https://www.dailysecu.com/news/articleView.html?idxno=107439.KISA 인터넷침해대응센터 침해사고분석단 종합분석팀은 1일 '홈페이지를 통한 내부망 장악' 보고서를 공개했다. 이번 보고서는 파일 업로드 취약점으로 최초 침투 후, 내부 서버로 확산해 정보 수집을 위해 주요 시스템에 악성코드를 심어 원격제어를 수행하는 공격 유형을 상세히 설명하고 있다.2. 3월로 계획되.......
[ 보안뉴스 ] 오픈SSL에서 고위험군에 속하는 디도스 취약점 발견돼 [내부링크]
1. 오픈SSL에서 고위험군에 속하는 디도스 취약점 발견돼"오픈SSL에서 고위험군에 속하는 디도스 취약점 발견돼", 보안뉴스, 2020년 04월 22일 수정, 2020년 04월 27일 접속,https://www.boannews.com/media/view.asp?idx=87739&page=1&mkind=1&kind=1.오픈SSL을 관리하는 '오픈SSL 프로젝트(OpenSSL Project)' 측에서는 문제의 취약점을 CVE-2020-1967로 지정했고, SSL_check_chain 함수에 있는 '세그멘테이션 오류(segmentation fault)'라고 밝혔다. 오픈SSL 프로젝트가 발표한 권고문에 따르면 "signature_algorithms_cert라는 TLS 엑스텐션을 잘못 처리하기 때문에 발생.......
[ 보안뉴스 ] CVSS 점수만으로 보안 취약점 평가하는 것, 적절한가? [내부링크]
1. CVSS 점수만으로 보안 취약점 평가하는 것, 적절한가?"CVSS 점수만으로 보안 취약점 평가하는 것, 적절한가?", 보안뉴스, 2020년 05월 07일 수정, 2020년 05월 14일 접속,https://www.boannews.com/media/view.asp?idx=88045&page=3&mkind=1&kind=1.CVSS v3.1을 통해 '심각성'은 평가돼도 '위험성'은 평가되지 않는다. 심각성을 평가하고 그 정보를 배포하는 것이 보편적 활용성이 높을 것으로 보았기 때문이다. 하지만 그렇기 때문에 누구나 '보편적인 심각성'을 가지고 '조직 고유의 위험성'을 평가해야만 하게 되었다. 이런 상황에서 CVSS 점수만을 가.......
[ Web 취약점 진단 ] Cross Site Scripting (XSS) ① [내부링크]
Cross Site Scripting (XSS)입력값 검증위험도 상1. 취약점 개요서버에 전달되는 입력값에 악의적인 스크립트를 포함시켜 해당 스크립트를 실행시키는 취약점이다. 이 취약점을 이용하여 사용자 쿠키 탈취 등 악의적인 행위가 가능하다.2. 취약점 진단 ①① 공격자가 악의적인 스크립트를 포함한 게시글을 작성한다.② 사용자가 게시판 페이지에서 해당 게시글을 확인한다.③ 악의적인 스크립트가 실행된다.보안하는 노하우!
[ Web 취약점 진단 ] Cross Site Scripting (XSS) ② [내부링크]
Cross Site Scripting (XSS)입력값 검증위험도 상3. 취약점 진단 ②① 공격자가 악의적인 스크립트를 포함한 게시글을 작성한다.② 사용자가 게시판 페이지에서 해당 게시글을 확인한다.③ 악의적인 스크립트가 실행된다.④ 공격자가 사용자 쿠키를 탈취한다.보안하는 노하우!
[ 보안뉴스 ] 랜섬웨어 감염 예방 및 피해 최소화 위한 '랜섬웨어 피해 예방 5대 수칙' [내부링크]
1. 랜섬웨어 감염 예방 및 피해 최소화 위한 '랜섬웨어 피해 예방 5대 수칙'"랜섬웨어 감염 예방 및 피해 최소화 위한 '랜섬웨어 피해 예방 5대 수칙'", 데일리시큐, 2020년 05월 14일 수정, 2020년 05월 25일 접속,https://www.dailysecu.com/news/articleView.html?idxno=108760.한국인터넷진흥원(KISA)은 국민-기업의 랜섬웨어 감염 예방 및 피해 최소화를 위해 '랜섬웨어 피해 예방 5대 수칙'과 '랜섬웨어 대응-백업 가이드'를 제공하고 있다. 주요 내용은 백업체계 구축 및 운영 백업 체계의 보안성 강화 주요 시스템 보안점검 등으로 사전에 대응할 수 있는 방안을 담고 있.......
중국에서 스카이프(Skype) 끊김 없이 사용하려면? [내부링크]
스카이프를 이용한 한국-중국간 원격 영상회의(화상회의)시 느리고 멈추는 문제점 해결 방안 및 사례안녕하세요. 알리바바 클라우드 한국공식파트너 라스컴입니다.요즘 코로나 바이러스로 인하여 해외 출장을 갈 수 없는 상황이 되었습니다. 그러다 보니 기업은 비즈니스 연속성 측면에서 해외 출장의 어려움을 영상회의(화상회의) 솔루션으로 대체하는 사례가 많습니다. 즉 대면 해외 출장을 언택트 영상회의로 해결하는 거죠.그러나 기업들이 스카이프 또는 줌 등을 활용한 영상회의(화상회의)를 사용하다 보면 회의 중에 느려지거나 멈춤 현상이 자주 나타나 원활한 회의 진행이 안되는 경우가 많습니다. 그래서 원격회의하다가 짜증 나서.......
중국 간편결제 온라인 PG 도입 사례 [내부링크]
안녕하세요 중국 간편결제 공식 가맹 본부 라스컴입니다. 요즘 코로나 바이러스로 인해 전국적으로 많은 분들이 어려움을 겪고 있습니다.그 중에서도 특히 중국향 서비스를 하고 계신 고객분들께서 많은 어려움을 겪고 계십니다. 현재 어려운 상황에서도 중국향 판매를 희망하시는 고객님들께 중국 간편결제 온라인 PG 도입 가맹점 성공 사례를 안내드리려 합니다.(기존에 오프라인 가맹점 사업을 하신 고객님들도 도입하실수 있습니다.)라스컴 온라인 PG 가맹점_Ktown4UKtown4u는 라스컴의 온라인 PG 첫 가맹 고객이며, 현재 코로나 바이러스에도 불구하고 꾸준하게 이용해주시는 감사한 고객인데요! Ktown4u는 현재 국내 유명 아.......
중국에서 G Suite(지스위트) 사용하기 [내부링크]
중국에서 사용이 불가한 G Suite 문제 해결 방안 및 사례안녕하세요. 알리바바 클라우드 한국공식파트너 라스컴입니다.많은 분들이 구글의 심플하고 빠른 협업툴 G Suite를 업무에 사용하고 계십니다.다만 구글 서비스가 제한되는 중국에서는 G Suite를 사용하지 못하는데요, 그 해결 방법을 소개 드리고자 합니다.차이나커넥트(ChinaConnect)는 저렴한 비용의 해외 네트워크 서비스 입니다.차이나커넥트를 이용하시면 원활하게 G Suite를 사용할 수 있을 뿐 아니라 일반 VPN을 사용하실 때 고질적으로 발생하던 문제점인 느리고 멈추는 네트워크 현상을 해결할 수 있습니다.차이나커넥트(ChinaConnect)는 한국과 중국의 국제 구간 통신 데.......
[ 보안뉴스 ] "기업 인프라 환경에 침해 공격 발생해도 알아채지 못하는 경우 많아" [내부링크]
1. "기업 인프라 환경에 침해 공격 발생해도 알아채지 못하는 경우 많아"""기업 인프라 환경에 침해 공격 발생해도 알아채지 못하는 경우 많아"", 데일리시큐, 2020년 06월 10일 수정, 2020년 06월 15일 접속,https://www.dailysecu.com/news/articleView.html?idxno=109674.파이어아이는 보고서에서, 최근 기업은 보안에 많은 투자를 하고 있고 그에 맞는 적절한 보안을 갖췄다고 생각하지만, 실제로는 기업의 인프라 환경에 침해 공격이 발생해도 알아채지 못하는 경우가 많다고 밝혔다. 보고서에는 보안 검증을 지속적으로 수행하는 전략 등을 통해 기업 보안 솔루션이 제 역할을 충분히 하도록 하는 지침.......
아태지역 1위 클라우드 서비스 업체는 알리바바 클라우드 [내부링크]
안녕하세요. 알리바바 클라우드 한국공식총판 라스컴입니다.알리바바(Alibaba)가 2019 회계연도 4분기 클라우드 컴퓨팅 매출이 지난해 같은 기간보다 76% 늘어난 11억 달러를 기록했다고 밝혔습니다.2019년 3월 말에 끝난 회계연도 기준으로 전체 매출이 36억 8,000만 달러에 달하여 전년보다 84% 증가한 수치입니다알리바바 클라우드는 이러한 매출 성장으로 아태지역 1위 클라우드 서비스 업체로 올라섰습니다.(점유율 19.6%, 2위와 3위는 AWS와 Azure 각각 11.0%, 8.0%)알리바바 클라우드는 10년 전부터 아시아태평양 지역에서 클라우드 및 데이터 인텔리전스 개발에 집중해 왔으며, 전자상거래부터 결제, 물류, 공급망 관리에 이르기.......
중국 간편결제(알리페이,위쳇페이) 가맹점 사용 설명서 [내부링크]
안녕하세요 중국 간편결제 공식 가맹 본부 라스컴 입니다~오늘은 중국인 10억명 이상이 사용하는 간편결제(알리페이,위쳇페이) 사용 설명서에 대해 알아볼게요!우선, 저희 라스컴에서 자체제작한 동영상 먼저 보시고 자세한 설명 해드릴게요~! 1. MQR(QR코드 스티커형 결제방식)첫번째 결제 방식은 가맹점에 비치할 QR코드를 스캔 후에 중국인 고객님이 가격만 입력하면 결제가 이루어지는 방식입니다. 2. TQR(핸드폰APP내 결제방식)두번째 결제 방식은 가맹점 내 점주님 및 직원분들의 핸드폰 앱으로 QR코드를 생성해서 스캔하시는 방식입니다. 첫번째 결제방식은 고객님만 알리페이 앱이 설치되어있으면 되고, 두번째 결제방식은 점주님.......
[ 보안뉴스 ] KISA, 2020년 7대 사이버 공격 전망 발표 [내부링크]
1. KISA, 2020년 7대 사이버 공격 전망 발표"KISA, 2020년 7대 사이버 공격 전망 발표", 전자신문, 2019년 12월 05일 수정, 2020년 01월 02일 접속,http://www.etnews.com/20191205000212. 한국인터넷진흥원(KISA)이 2020년 7대 사이버 공격 전망을 발표했다. 7대 전망에는 일상으로 파고든 보안 취약점 공공기관·기업으로 확대되는 랜섬웨어 해킹에 취약한 암호화폐거래소 문자와 이메일 안으로 숨어드는 악성코드 진화하는 지능형 지속위협(APT) 모바일 소프트웨어(SW) 공급망 공격 융합 서비스 대상 보안 위협이 포함됐다.2. 안드로이드용 트위터 앱에서 취약점 발견"안드로이드용 트위터 앱에서 취약점 발견&qu.......
[ 보안뉴스 ] 구글, 2020년 첫 보안 불레틴 발표로 40개 취약점 해결 [내부링크]
1. 구글, 2020년 첫 보안 불레틴 발표로 40개 취약점 해결"구글, 2020년 첫 보안 불레틴 발표로 40개 취약점 해결", 보안뉴스, 2020년 01월 08일 수정, 2020년 01월 15일 접속,https://www.boannews.com/media/view.asp?idx=85627&page=3&mkind=1&kind=1.구글이 2020년 첫 안드로이드 보안 불레틴을 공개했다. 동시에 40개 취약점에 대한 패치도 배포하기 시작했다. 이 중에는 치명적인 위험도를 가진 취약점도 두 개 포함되어 있다. 구글은 이 외에 픽셀 폰을 위한 보안 불레틴을 별도로 발표하기도 했다.2. 5년 전 하트블리드 발견 이후 오픈SSL에 어떤 일이 있었나"5년 전 하트블리드 발견 이.......
[ 보안뉴스 ] 2019년을 관통한 사이버 공격, '웹기반 공격'과 '앱 취약점 공격' [내부링크]
1. 2019년을 관통한 사이버 공격, '웹기반 공격'과 '앱 취약점 공격'"2019년을 관통한 사이버 공격, '웹기반 공격'과 '앱 취약점 공격'", 보안뉴스, 2020년 01월 17일 수정, 2020년 01월 22일 접속,https://www.boannews.com/media/view.asp?idx=85849&page=1&mkind=1&kind=1.2019년 가장 많이 이뤄진 사이버 공격은 '웹 기반 공격'과 '앱 취약점 공격'으로 조사됐다. 2019년 가장 많이 시도된 사이버 공격 유형은 '웹기반 공격'으로 전체 공격 시도의 39%를 차지했다. 다음으로 '앱 취약점 공격'이 31%, '스.......
알리바바 클라우드 기업계정 생성 방법(영상) [내부링크]
안녕하세요. 알리바바 클라우드 한국공식파트너 라스컴입니다.알리바바 클라우드 기업계정 생성 방법을 소개 드립니다.아래 2분 짜리 영상을 따라하시다 보면 쉽게 기업계정을 만드실 수 있습니다.알리바바 클라우드 기업계정 혜택 1) 한국어 기술지원 2) 무상 테스트 지원 3) 원화세금계산서 발행 4) 후불 청구알리바바 클라우드 기업 계정 생성을 위해서는 라스컴에서 발송 드리는 계정 등록메일이 필요합니다.라스컴 공식 홈페이지(www.lascom.co.kr) 또는 직통전화 1522-3863 로 문의 주시면 도움드리겠습니다.감사합니다.알리바바 클라우드 한국공식파트너 라스컴www.lascom.co.kr고객센터: 1522-3863 e-mail: [email protected]서.......
[ Web 취약점 진단 ] Open Redirect [내부링크]
Open Redirect입력값 검증위험도 상1. 취약점 개요서버에 전달되는 입력값을 변조하여 악의적인 사이트로 Redirect 시키는 취약점이다. 이 취약점을 이용하여 피싱 등 악의적인 행위가 가능하다.2. 취약점 진단① 게시판 페이지에서 게시글 작성을 시도한다.② 로그인 페이지로 Redirect 된다.③ 입력값을 변조한다.④ 로그인 후 변조된 URL로 Redirect 된다.보안하는 노하우!
[ 보안뉴스 ] 중소기업의 웹사이트 보안을 위한 가이드 7 [내부링크]
1. 중소기업의 웹사이트 보안을 위한 가이드 7"중소기업의 웹사이트 보안을 위한 가이드 7", 보안뉴스, 2020년 02월 08일 수정, 2020년 02월 18일 접속,https://www.boannews.com/media/view.asp?idx=86244&page=3&mkind=1&kind=1. 보안 업체 사이트록(SiteLock)의 제품 마케팅 전문가인 모니크 베센티(Monique Becenti)는 "먼저는 웹 호스팅 업체에 연락해 어떤 보안 기능을 제공하는지 알아보는 것부터 시작하라"고 권장한다. 베센티 등 전문가들의 도움을 받아 웹사이트 보안 강화를 결심한 중소기업이 먼저 해야 할 일들을 일곱 가지로 정리해 보았다.2. 데이터 프라이버시 보호, 기업.......
[ 보안뉴스 ] 보안 담당자를 망연자실하게 만드는 행동 8 [내부링크]
1. 보안 담당자를 망연자실하게 만드는 행동 8"보안 담당자를 망연자실하게 만드는 행동 8", 보안뉴스, 2020년 02월 22일 수정, 2020년 02월 26일 접속,https://www.boannews.com/media/view.asp?idx=86554&page=1&mkind=1&kind=1.보안 업체 타이코틱(Thycotic)의 수석 보안 과학자인 조셉 카슨(Joseph Carson)은 "책임을 돌리는 것만으로는 충분한 조치를 취한 게 아닙니다. 그러나 끊임없이 알려주고 가르쳐 줌으로써 개선할 수 있는 위험한 행동 요소들도 존재합니다. 그런 행동들을 꼽아서 책임을 지게 하는 건 의미가 있을 수 있습니다."라고 말한다.2. 기업들의 정보보호 노력, 지난.......
[ Web 취약점 진단 ] SQL Injection ① [내부링크]
SQL Injection입력값 검증위험도 상1. 취약점 개요서버에 전달되는 입력값을 통해 SQL 문을 변조하여 악의적인 동작을 일으키는 취약점이다. 이 취약점을 이용하여 사용자 정보 탈취 등 악의적인 행위가 가능하다.2. 취약점 진단 ①① 로그인 페이지에서 로그인을 시도한다.② 입력값을 통해 SQL 문을 변조한다.③ 로그인에 성공한다.보안하는 노하우!
[ 보안뉴스 ] 주요 브라우저, 이번 달부터 TLS 1.0 및 1.1 사용하는 HTTPS 사이트에 대한 액세스 차단 [내부링크]
1. 주요 브라우저, 이번 달부터 TLS 1.0 및 1.1 사용하는 HTTPS 사이트에 대한 액세스 차단"주요 브라우저, 이번 달부터 TLS 1.0 및 1.1 사용하는 HTTPS 사이트에 대한 액세스 차단", 데일리시큐, 2020년 03월 06일 수정, 2020년 03월 11일 접속,https://www.dailysecu.com/news/articleView.html?idxno=106787. 85만개 이상의 웹사이트들이 여전히 오래된 TLS 1.0과 1.1 프로토콜을 사용하고 있지만, 대부분의 주요 브라우저들이 이번 달 말 이들에 대한 지원을 제거하기로 했다. 이 프로토콜은 지난 20년 동안 공개된 BEAST, LUCKY 13, SWEET 32, CRIME, POODLE 같은 일련의 암호화 공격에 취약한 암호화 알고리즘을 사용하고 있.......
[ Web 취약점 진단 ] SQL Injection ② [내부링크]
SQL Injection입력값 검증위험도 상3. 취약점 진단 ②① 회원가입 페이지에서 회원가입을 시도한다.② 입력값을 통해 SQL 문을 변조한다.③ 데이터베이스 정보를 탈취한다.④ 입력값을 통해 SQL 문을 변조한다.⑤ 데이터베이스 정보를 탈취한다.⑥ 입력값을 통해 SQL 문을 변조한다.⑦ 데이터베이스 정보를 탈취한다.⑧ 입력값을 통해 SQL 문을 변조한다.⑨ 데이터베이스 정보를 탈취한다.보안하는 노하우!
[ 모의해킹 ] 웹 보안 취약점 테스트(OWASP 테스팅 가이드 4.0 소개 - 7) "보안하는 노하우!" [내부링크]
[ 모의해킹 ] OWASP 테스팅 가이드 4.0 소개 - 7 (p.16 보안 테스트를 위한 요구사항 만들기) 보안 테스트를 위한 요구사항 만들기(Deriving Security Test Requirements) 이번 섹션에서는 보안 테스트를 위해 표준이나 규정을 파악해 긍정 또는 부정 응용 요구사항을 문서로 만드는 것에 대해 알아봅니다. 또한 SDLC에 보안 테스트를 효과적으로 끌어 내기 위한 보안 요구사항에 대해서 그리고 보안 위험을 효과적으로 관리하기 위한 테스트 데이터에 대해서도 논합니다. 테스트 목적(Testing Objectives) 테스트의 목적은 보안 통제가 OWASP Top 10에서 제공하는 취약점을 파악하여 보안에 비밀성, 무결성과 가용성을 제공하기 위함입니다. 취.......
[ 보안뉴스 ] 가상통화 시장 노리는 해커들의 7가지 수법 ① - "보안하는 노하우!" [내부링크]
[ 보안뉴스 ] 가상통화 시장 노리는 해커들의 7가지 수법 ① 보안 업체 리스크 베이스드 시큐리티(Risk Based Security)에서 최근 발표한 2018년 1분기 데이터 유출 트렌드 보고서에 따르면 “지난 6년 동안 이번 1분기처럼 조용했던 적이 없다”라고 한다. 가상통화로 관심이 쏠렸기 때문에 다른 때보다 조용했다는 것이다. 설득력이 있다. 이득이 많은 곳을 노리는 것이 범죄자들의 일반적인 성향이라고 생각했을 때, 가상통화에 집중된 지금의 범죄 활동이 이상한 것은 아니다. 그러면 사이버 범죄자들은 어떤 방법들로 가상통화 생태계를 공격하고 있는지 모든 가상통화 탈취 수법을 정리해 보면 7가지로 나눌 수 있다.1. 가상통화 거래소 20.......
[ 보안뉴스 ] 가상통화 시장 노리는 해커들의 7가지 수법 ② - "보안하는 노하우!" [내부링크]
[ 보안뉴스 ] 가상통화 시장 노리는 해커들의 7가지 수법 ② 가상통화 시장 노리는 해커들의 7가지 수법 - 계속4. 크립토재킹(Cryptojacking) 가상통화 거래소를 노린다는 건 꽤 직관적이다. 하지만 사이버 범죄자들 사이에서 가장 인기가 높은 공격법은 아니다. 오히려 가상통화 채굴에 필요한 컴퓨팅 파워를 훔친다는 개념을 가진 크립토재킹이 현재까지는 가장 많이 사용되는 공격 기법으로 남아있다. 가상통화 채굴을 하려면 좋은 컴퓨터나 프로세서가 필요한데, 그래서 범죄자들은 많은 컴퓨터의 파워를 훔쳐내 채굴을 진행한다. 결국엔 채굴을 위한 봇넷이 만들어지고 일반 가정용 컴퓨터부터 기업용 서버까지, 다양한 컴퓨터에 악성코드를.......
[ 보안 취약점 진단 ] 무차별 공격의 방어와 과도한 계정 잠김 메커니즘의 문제 (CWE-645) "보안하는 노하우!" [내부링크]
[ 보안 취약점 진단 ] 무차별 공격의 방어와 과도한 계정 잠김 메커니즘의 문제 (CWE-645)과도한 계정 잠김 메커니즘의 문제계정 잠김 메커니즘이 너무 지나치면 공격자들이 이를 역으로 이용하여 합법적인 사용자의 시스템 사용을 지연시킬 수 있다. 계정 잠김 정책은 패스워드 기반의 인증 시스템에서 무차별 공격에 대응하는 수단으로 마련된 보안 대책이다. 즉, 특정 횟수에 로그인 시도가 실패하면 일정 시간 동안 계정이 잠기거나 관리자가 잠김을 풀어줘야만 하는 메커니즘이다. 하지만 합법적인 사용자에 시스템 사용을 방해할 수 있기 때문에 계정 잠김 메커니즘을 과도하게 사용하는 것을 자제할 필요가 있다. 이는 보안의 기본 3요소.......
[ 시큐어 코딩 ] OWASP 코드 리뷰 가이드 2.0 - 5 "보안하는 노하우!" [내부링크]
[ 시큐어 코딩 ] OWASP 코드 리뷰 가이드 2.0 - 5 5.8 시큐어 코드 리뷰의 기술적 측면 Flow와 Flaw 실행 흐름의 불안전한 종료나 동기화 오류 같은 결함(flaw)을 응용프로그램 코드의 흐름(flow)을 이해하여 발견할 수 있습니다. 즉, flow를 통해 flaw를 찾아냅니다. 중앙집중식 블랙리스트나 입력 검증 같은 보안 통제가 디자인에 반영되도록 해야 합니다. 기존 보안 통제의 약점을 열거해 놓는 것도 시큐어 코드 리뷰의 중요한 측면 중의 하나입니다. 보안 결함을 열거해 놓아야 하는 많은 이유가 있는데, 결함(flaw)의 근본 원인을 찾아내고 데이터의 흐름(flow)을 추적하기 위함입니다.결함(flaw)의 근본 원인을 통해 XSS 취약점을 찾아내고.......
[ 보안뉴스 ] 2018년 프로세서(CPU) 8대 취약점 정리 - "보안하는 노하우!" [내부링크]
[ 보안뉴스 ] 2018년 프로세서(CPU) 8대 취약점 정리 출처: www.darkreading.com "8 Big Processor Vulnerabilities in 2018" https://www.darkreading.com/endpoint/8-big-processor-vulnerabilities-in-2018/d/d-id/1332293?image_number=1 2018년 새해 벽두부터 기본적인 컴퓨터 아키텍처 자체의 문제들이 자꾸만 나오고 있는데, 현재까지 발견된 CPU 취약점들을 전부 모았다. 1. 멜트다운과 스펙터 (Spectre and Meltdown) 인텔과 AMD 그리고 ARM이 가진 사이드 채널 결함인 멜트다운과 스펙터는 새해부터 보안 분야를 뜨겁게 달궜다. 리퀘스트 전에 명령어를 예측하여 CPU 성능을 올리는 기술에서 비롯됐는데, OS에 의해서 공격이 이루어지.......
[ 모의해킹 ] 웹 보안 취약점 테스트(OWASP 테스팅 가이드 4.0 소개 - 8) "보안하는 노하우!" [내부링크]
[ 모의해킹 ] OWASP 테스팅 가이드 4.0 소개 - 8 (p.17~19 기능 및 비기능 요구사항 만들기) 이번 섹션에서는 긍정형 요구사항과 부정형 요구사항에 관해 설명합니다. 이로부터 나온 요구사항을 도출하고 유즈 케이스를 이용해 그래픽 화하고 단계별로 나눕니다. 기능 보안 요구사항(Functional Security Requirements) 긍정형 요구사항(positive requirements)으로 보안 테스트를 통해 예상되는 기능을 검증합니다. 예상되는 기능에는, - 계정 정보나 기밀이 전송 또는 저장 중에 보호하기 - 비밀 정보는 디스플레이에 마스크 처리 - 특정 횟수에 로그인 실패 시 사용자 계정 잠그기 - 로그인 실패 시 특정 검증 에러 내용 사용자에게 보이지 말.......
보안 개론 - 법, 정책, 표준, 지침, 절차 [내부링크]
보안 개론 - 법, 정책, 표준, 지침, 절차 요즘 기업의 사회적 책임에 대해 많이들 이야기합니다. 기업의 사회적 책임, Corporate Social Responsibility를 위해 재능기부, 환경보호, 교육, 기부/봉사, 보안등 많은 사항이 있지만, 그중에서도 중요한 것이 "준수(Compliance)"입니다. 이를 통해서 결국 "지속 가능 경영(Sustainable Development)" 까지 도달할 수 있습니다. 준수하기 위해 기업 주변에는 어떠한 게 있는지 알아보겠습니다. 모든 회사에는 비전이 있고 그 비전을 지향하는 미션과 목표가 있습니다. 또한 미션과 목표를 달성하는 데는 크게 3가지 영역으로 나누어 볼 수 있는데 '관리영역', '기술영역' 그리고 '물리영역'입니다. 이.......
하드디스크의 올바른 폐기법 [내부링크]
최근 성남시는 버리는 컴퓨터에 저장된 개인정보 유출 사고를 막기 위해 일반시민 대상 ‘하드디스크 데이터 영구 삭제 서비스’를 진행한다고 밝혔습니다. [기사참조(보안뉴스) - https://www.boannews.com/media/view.asp?idx=77728&page=1&mkind=1&kind=2]많은 분들이 이 같은 서비스가 왜 필요하신지 의아해 하실 수 있을것 같아,windows 환경에서의 파일 삭제에 대해 간단하게 설명 드리려고 합니다.아래 내용은 아래 그림과 같은 자성을 이용하는 하드디스크에만 해당 되는 내용입니다.우리가 파일 및 폴더를 PC에 저장하게 되면, 해당 파일에 대한 메타 데이터(데이터에 대한 정보)가 같이 저장이.......
한중 네트워크 문제(중국VPN 등) 해결 방안 [내부링크]
안녕하세요. 알리바바 클라우드 한국공식총판 라스컴입니다.한국과 중국 간 네트워크는 GFW(만리방화벽), 사설 중국 VPN 단속 등의 규제에 의해 지연, 끊어짐, 패킷손실이 지속적으로 발생합니다.특히 중국 내 스포츠 행사, 연말 쇼핑 시즌, 당 대회 등의 이벤트가 발생할 때에는 한중 간 네트워크 품질 예측이 더욱 곤란해집니다.이러한 문제를 해결하기 위한 가장 근원적인 방법은 모든 시스템을 중국에 구축하는 것 입니다.하지만 중국 지·법인의 본사 그룹웨어 및 ERP 사용 등 한국 시스템에 자주 접속해야 하는 상황에서는 어떻게 대응해야 할까요?해결책은 한중전용회선 차이나커넥트 입니다.허가받지 않은 한-중 VPN은 중국 정부.......
중국인 관광객 알리페이 결제액 전년보다 11% 늘어 [내부링크]
지난 5월 1일부터 3일 중국 노동절 연휴 기간 동안 한국을 찾은 중국인 관광객은 전년 대비 70% 늘어났다고 합니다.이 기간 한국을 찾은 중국인 관광객들은 1인당 평균 2800위안(약 48만원)을 지출해전세계 평균 대비 한국에서 55% 더 많이 소비 지출한 것으로 조사되었습니다.(알리페이 사용자 1인당 평균 결제액은 전년 대비 11% 증가했습니다)시장조사기관 닐슨(Nielsen)이 최근 발표한 ‘2018 중국인 관광객 모바일 지급결제 해외 이용실태 보고서’에 따르면 한국을 비롯한 해외국가에서의 중국인 해외관광객의 모바일 결제규모가 꾸준히 늘고 있으며 이들 중 69%가 해외에서 모바일 간편결제를 이용한 것으로 나타났습니다. 알리.......
알리바바 클라우드 한국총판 라스컴, 한국 최우수 파트너 선정 [내부링크]
안녕하세요. 알리바바 클라우드 한국공식총판 라스컴입니다.지난 3월 7일 홍콩에서 열린 ‘Alibaba Cloud Eco Summit’에서 라스컴이 2017년 한국의 최우수 파트너로 선정되었습니다.이 상은 알리바바 클라우드 사업의 발전과 기술 개발에 특별한 공헌을 한 우수 기업에게 주어집니다.라스컴은 알리바바 클라우드와 함께 국내 대기업 및 게임사 등에 중국, 한국을 포함한 글로벌 클라우드 및 CDN 서비스를 공급하고 있으며, 현재 한국의 파트너 중 가장 많은 고객사를 유치하여 기술 지원 중인 회사입니다.중국은 다른 국가와 달리 정부의 제도 및 절차가 까다롭기 때문에 중국 진출을 희망하는 한국 기업이 중국의 규정을 몰라 중국 진.......
[ 모의해킹 ] 웹 보안 취약점 테스트(OWASP 테스팅 가이드 4.0 소개 - 6) "보안하는 노하우" [내부링크]
[ 모의해킹 ] OWASP 테스팅 가이드 4.0 소개 - 6 (테스팅 테크닉의 적절한 조합) 테스팅 테크닉의 적절한 조합 "수동 검사 및 리뷰", "소스 코드 리뷰" 그리고 "침투 테스트"를 적절히 상황에 맞게 조합하여 테스트를 진행하도록 합니다. 하나의 테스팅 테크닉으로는 모든 보안 테스트를 효과적으로 수행할 수 없습니다. 경험을 토대로 보면 침투 테스트만으로는 많은 보안 이슈들을 효과적으로 대응할 수 없으며, SDLC 차원에서 극히 일부만을 커버하고 시기상으로도 늦습니다. 그래서 올바른 접근이, 앞선 블로그에 3개의 테크닉("수동 검사 및 리뷰", "소스 코드 리뷰" 그리고 "침투 테스트")을 적절히 조합해서 SDLC 각 국면에 맞게 테스팅하.......
[ 보안뉴스 ] 웹 애플리케이션의 7가지 심각한 보안 취약성 - "보안하는 노하우!" [내부링크]
[ 보안뉴스 ] 웹 애플리케이션의 7가지 심각한 보안 취약성 (원제:7 Deadly Security Sins of Web Applications) 출처: https://www.darkreading.com/cloud/7-deadly-security-sins-of-web-applications/d/d-id/1331353?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple 오늘은 Darkreading.com (www.darkreading.com)에 최근에 게재된 "웹 애플리케이션의 7가지 심각한 보안 취약성"에 대한 기사를 정리해 봅니다. 이는 웹 애플리케이션 공격으로 손해를 입히는 순서로 나열되었고 여기에 나오는 7개의 취약점은 조직이 시큐어 코딩을 증진하는 데 도움을 줍니다. 1. SQL Injection Flaws 발견된 지 20년이 된 SQL injection은 아직도 웹 공격에 대부분.......
[ 보안 취약점 진단 ] 파라미터 변조 - Parameter Manipulation (CWE-472: Web Parameter Tampering) "보안하는 노하우!" [내부링크]
[ 보안 취약점 진단 ] 진단항목 : 파라미터 변조 - Parameter Manipulation (CWE-472: External Control of Assumed-Immutable Web Parameter) CWE Score: none CWE Top 25: none 비슷한 표현: Parameter Manipulation, Web Parameter Tampering, Parameter Modulation, Parameter Tampering, 파라미터 변조, 쿠키/URL 파라미터 변조 공격 기술: 중간자 공격(Man-in-the-middle-attack) CWE 계층도 CWE-472의 상위 계층으로는 Modification of Assumed-Immutable Data(CWE-471)와 Data Handling(CWE-19)이 있다. 관련 CWE: CWE-233: Improper Handling of Parameters 웹서버에 전송되는 모든 HTTP 요청 값(URL Parameter, Cookie, Referer, form .......
[ 시큐어 코딩 ] OWASP 코드 리뷰 가이드 2.0 - 4 "보안하는 노하우!" [내부링크]
[ 시큐어 코딩 ] OWASP 코드 리뷰 가이드 2.0 - 4 오늘은 "코드 리뷰를 통해 얻는 편익"에 대해 알아보겠습니다. "OWASP 코드 리뷰 가이드 2.0" 15페이지에 있는 "5.7 Implicit Advantages of Code Review to Development Practices"에 해당합니다. https://www.owasp.org/index.php/File:OWASP_Code_Review_Guide_v2.pdf 코드 리뷰(Code review) 프로세스가 올바르게 구성되면 다음과 같은 편익이 있습니다. - 효율적이고 교육적이며, - 점검 가능한 이력 기능을 제공 이력 기록을 제공합니다. 컨텍스트(가치 있는 정보), 변경 기록과 모든 아키텍처/기능/테스트 사양, 버그 또는 개선 간의 연결을 제공합니다. 변경 사항이 테스트 되었는지 확.......
[ 보안 취약점 진단 ] 에러 처리 미흡 - Error Messages Disclosure (CWE-209) "보안하는 노하우!" [내부링크]
[ 보안 취약점 진단 ] 진단 항목: 에러 처리 미흡 - Error Messages Disclosure (CWE-209: Information Exposure Through an Error Message) CWE Score: none CWE Top 25: none 비슷한 표현: 에러 페이지 별도 지정, 부적절한 오류 처리, 오류페이지를 통한 정보 노출, Insufficient Error Handling, 에러 메시지 공격, Improper Error Handling 공격 기술: 2차 공격에 정보 활용 CWE 계층도: 없음 웹서버가 사용자 요청을 처리하는 과정에서 오류 또는 예외가 발생할 경우 웹브라우저상에 오류 내용에 대하여 설명해 주는 메시지들을 출력해 주는데, 때로는 이 메시지에 포함된 정보들이 해킹 공격에 기초정보로 활용될 수 있다. 따라서 403, 40.......
[ 보안뉴스 ] 개인정보 유출 시 필수 조치요령 - "보안하는 노하우!" [내부링크]
[ 보안뉴스 ] 개인정보 유출 시 필수 조치요령 국내 최대 규모의 개인정보보호 콘퍼런스이자 개인정보보호 중요성을 전파해 보안 경쟁력을 강화하기 위한 개인정보보호 축제 ‘2018 개인정보보호페어(PIS FAIR 2018)’가 이번 주에 개최됩니다. 마침 유럽 개인정보보호법인(GDPR : General Data Protection Regulation)이 지난 5월 25일에 시행돼 개인정보보호의 필요성이 강조되는 때입니다. 이에 개인정보 유출 시 필수 조치요령의 정리합니다. 첫째, '신속 통지'로 유출된 정보주체 개개인에게 바로 통지해야 합니다. 유출되었음을 알게 된 즉시(통상 5일 이내) 반드시 유출된 정보주체 개개인에게 지체 없이 통지해야 하고, 통지해야 하는 항.......
네이버 블로그
티스토리
커뮤니티