메뉴 건너뛰기

박영식 홈페이지

[기사] 의미 있는 약점으로 만드는 것이 전문가들이 해야 할 일

lispro062017.02.21 22:18조회 수 200댓글 0

    • 글자 크기

의미 잃어가는 모의 해킹, 깊이를 추구해야 할 때


모의 해킹을 통해서 본 기업 보안 능력의 실태는?

버그바운티와 결합했을 때 훨씬 더 깊이 있는 문제 분석 가능


[보안뉴스 홍나경 기자] 보안 점검과 모의 해킹 테스트를 거의 동의어로 취급하는 이들에게는 충격적일 만한 보고서가 나왔다. 보안 상태를 점검하기 위해 하는 모의 해킹이 사실상 큰 의미를 가지고 있지 않다는 내용을 담고 있다. 보안 전문업체인 래피드7(Rapid7)의 이 대담한 보고서 내용을 하나하나 살펴보았다.


......................................................................



http://www.boannews.com/media/view.asp?idx=53475&skind=O



국내 보안시장에서는 의미 있게 만들기 보다는 쉽게(비용을 지불하지 않고) 처리하는 가이드를 제시해 주기를 원한다. 그리고 해당 취약점이 왜 나왔냐고 반문하고, 발견하지 못한 것에 대한 패널티를 부과하려 한다. 체크리스트 기반이든 시나리오 기반이든 의미있는 취약점 진단(aka. 모의해킹)이 되도록................


lispro06 (비회원)
    • 글자 크기

댓글 달기

[가치] 기부를 하면 자전거를 타게 해준다

[원문보기]

언제부터 인가 주객이 전도되는 사례들이 끊이 없이 발생했다.


질소를 사면 과자를 준다던가. 리워드를 위해 돈을 지불하는 행위.


사은품 때문에 카드를 만들고, 계좌를 개설하며 상품에 가입한다.


어리석다.


공항에서 가방을 준다고 해서 발렌타인과 글렌피딕 각 1병씩을 샀다. 금방 싫증나거나 망가졌다.

리워드 때문은 아니었지만, 삼성전자 사업장에서 일하던 직원의 투병기를 영화로 제작한 '또하나의 약속' 펀딩에 참여해 동영상 DVD를 받기도 했다. 소방관들의 복지 증진을 위한 펀딩을 통해 티셔츠를 받는 펀딩에도 참여해 봤다.


우산은 사는 것은 아깝다고 생각하고 있었는데, 책을 사면 우산을 선택할 수 있는 이벤트가 있어 우산을 선택했다. 5만원짜리 우산. 우산을 사면 책을 준다. 이것은 나의 사고 방식이다.


따릉이는 서울 공공 자전거 서비스로 1일 이용권이 천원이고, 24시간 기준이라, 1시간 내에 반납만 잘하면, 계속 빌려서 탈 수 있다. 왜 1시간 반납 기준을 만들었는지는 알 수 없다. "따릉이의 도입 취지가 주말에 장거리 라이딩을 가는 몇몇 소수 이용객을 위한 것이 아니라, 다수의 이용객의 단거리 이동수단 활성화"


추석 연휴에 자전거를 타려고 했으나, 앞 바퀴의 바람이 몇 초만에 빠져버려 자전거를 버려야겠다는 생각을 했다. 위험하기도 하고 오래탔기 때문에 많이 노후했다. ktx에 실어 배로 신안군 섬과 마산, 진해까지 들어갔던 엄청난 이력이 있는 자전거이지만, 이제 더 이상의 수리는 무리라고 생각한다.


1년 365일을 이용하고자 하면, 3만원이다. 1년은 52주 정도니까, 주말에만 타도 금액적인 이익이다. 그런데 이렇게 생각하면 여러 고민에 휩싸인다. 정기권 결제에 대한 셈이 시작된다. 인식을 전환하면 마음이 편해진다. 따릉이 같은 좋은 교통수단을 유지하기 위해 3만원을 기부하면 따릉이를 이용할 수 있게 해준다고 생각을 바꾸면 지불에 대한 셈이 사라진다.


서울시에 3만원을 기부하고 리워드로 따릉이 1년 이용권을 받는다. 신용카드 결제도 되니 소득공제도 된다. 서울시에 충분히 기여하고 있지만, 조금더 가시적이고, 직접적인 활동으로 따릉이 교통체계에 3만원 기부. 깔끔하다.



[공유기] 밤에 깜박이는 공유기 led 설정

[원문보기]

시간으로 설정하거나 걍 꺼버릴 수 있다.


동작 여부를 모니터링 하지 않아도 되므로 일단 껐다.



[보안] snyk에서 언급한 React 보안 코드 적용

[원문보기]

하기 사이트에서는 React 에서 사용할 수 있는 패키지 모듈을 소개하는데, 실제 적용하려면 추가 작업이 필요하다.

 

*https://snyk.io/blog/10-react-security-best-practices/

 

1) dompurify 를 사용하기 위해서는 import 로 isomorphic-dompurify를 해야하고, npm install isomorphic-dompurify 로 설치가 필요하다.

 

import purify from "isomorphic-dompurify";

 

<div dangerouslySetInnerHTML={{__html: purify.sanitize ("<font size=10>dfdf</font><script>console.log();</script><bdo dir='rtl'>direction</bdo><h1 style=\"color: red\">예제</h1></bdo>")}}></div>

 

스크립트 코드와 일반 HTML의 출력이 되는 결과를 확인하면 script는 출력되지 않는 것을 알 수 있다.

 

2) validateURL 은 http를 제거하면서 결과를 확인하면 간단한 필터링 함수를 실행할 수 있다.

 

  function validateURL(url) {

    const parsed = new URL(url)

    return ['https:'].includes(parsed.protocol)

  }

 

<a href={validateURL(url) ? url : ''}>Click here!</a>

 

3) renderToStaticMarkup 메서드를 사용하기 위해서는 react-dom/server를 import 해야하고 모듈이 없다고 나오면 설치가 필요하다. (npm install ReactDOMServer)

 

import ReactDOMServer from 'react-dom/server';

 

text=ReactDOMServer.renderToStaticMarkup(

React.createElement("h1",null,text)

)

 

[도서] 철강왕 박태준의 경영이야기

[원문보기]

"납품업자가 누구야?"

박태준은 납품업자의 이름을 확인한 다음 즈각 사단본부에 이 사건을 보고했다. 그러나 놀랍게도 사단본부에 있는 고위 장교들은 이 사건을 보고받고도 태연했다. 그들은 이미 이러한 사기행각을 알고 있으면서도 눈감아 주고 있던 것이다. 정부와 군부 내의 부정부패가 워낙 뿌리 깊게 박혀 있었기 때문에 이와 같은 사기 행각이 오랫동안 지속될 수 있었다. 34쪽


예전의 군인들은 똑똑한 사람들이었다.. 대통령도하고 사업도 해서 잘 경영했다. 그런데 지금은 멍청한 놈들이 많아 똑같이 해도 다 걸리고 말아먹는다. ㅉㅉ

[도서] 어느 경찰관의 사람공부

[원문보기]

네 시간 정도 같이 경험했다. '내가 있어 경험을 하는 것이 아니라 경허이 있어 내가 있다'라는 말이 있다. 경험하고 느끼고 이해한 만큼 자신을 알아간다는 뜻일 것이다. 60페이지


네오, 너는 길을 아는 것과 걷는 거의 차이를 아느냐? 84페이지


길을 아는 것, 네이버 지도를 보는 것, 발로 걷는 것, 자전거로 가는 것, 차로 운전해 지나는 것. 모두 다르다.


그렇다. 사람들은 모두 자신의 의무에 충실하려 한다. 단지 그 의무가 어떤 의미가 있는지, 어떤 관계로 이루어진 것인지를 놓치고 사는 것이 차이라면 차이일 것이다. 의무가 저버리려고 하는 사람들과 의무를 지켜내려고 하는 사람들의 놀이가 세상살이 아니겠는가. 119페이지


부족하다면 일어날 테고. 본인 잘못인데 왜 술한테 핑계를 대고 그래? 암튼 그 마음은 알겠어.

결심은 또 다른 자기 규정이다. 수없이 많은 자기규정에 하나의 규정을 추가하는 것이다. 지키면 좋지만 지키지 못할 때는 스스로 자신을 벌하게 된다. 155페이지


경위든 경사든 그게 뭐 중요하랴. 하지만 때론 중요하지 않은 말을 나누는 동안에 심각한 분위기가 누그러진다. 심각한 것과 진지한 것은 다르다. 나는 많은 상황을 겪으면서 사람은 어떤 상황에서든 심각할 필요가 없다는 사실을 알게 되었다. 진지하기만 하면 된다. 219페이지


<무경계>의 저자 캔 윌버는 사람마다 마음속에 그려진 경계선이 다르다고 한다. '무경계'는 자신이 가진 다양한 경계선들을 모두 지워낸 제로베이스 상태를 뜻한다. 무경계 상태에 진입하면 어떤 사람과도 마음으로 주파수를 맞출 수 있고 자신의 고정관년을 바꿀 수도 있다. 236페이지

[분석] 머신러닝, 봇, IOT / 김밥천국과 호텔조식 / 유통업자

[원문보기]

머신러닝, 봇, IOT는 전혀 새로운 것이 아니다.

이미 튜링테스트나 인공지능에 대한 연구는 있어 왔고, IOT 또한 원격제어 등으로 상품화 되었다.

그러나 이제와서 다시 주목 받는 이유는 인프라의 변화가 이들의 효용성을 증폭시켰기 때문이다.


데이터의 증가(그동안은 데이터가 지금보다 훨씬 적었다.), 하드웨어의 고성능화, 통신 속도 증가 및 통신 모듈 다양화, 클라우드를 통한 빠른 통합, 다양한 API 지원에 따른 효율적인 서비스 개발.


빛을 못 보던 기술이 수면 위로 오르게 되는 것은 환경이 갖춰졌기 때문이다. 순수 과학자들의 증명되지 않은 이론들은 구현 환경이 마련됨에 따라 차츰 모습을 드러낸다. 고서적에서 옛 과학자들이 예측했던 또는 상상했던 것들을 발굴해 내는 것도 좋은, 효과적인 연구일 수 있다.


더 이상 환경을 직접 구축하고 구현할(삽질 ?) 시간을 낭비할 필요가 없어졌다. 다시 생각하면 레이어가 하나 더 생긴 것일 수 있다.

직접 dbms 쿼리를 다루지 않아도 되지만, ORM을 배워야 하는 귀찮음이 있다. 직접 API 서버의 프로토콜을 맞추진 않아도 되지만, 해당 서비스를 제공하는 옵션을 설정해야 하는 번거로움이 있다. 영어로 된 documentation을 읽어야 하는 부담은 감수해야 한다.


직접 서비스를 개발하는 건 원천기술 개발에 근접하므로 대부분의 서비스는 리셀러 개념이 많다. 오픈소스를 활용하거나 각종 OS, DBMS, WEB SERVER, CMS, 인증/결제 서비스를 결합하여 상품을 제공하는 것은 결코 모든 것을 다 개발하진 않았기 때문이다. 심지어 하나도 개발하지 않고, 통합 서비스만 할 수도 있다. Zapier 같은 서비스가 그럴지 모른다. 하지만, 인터페이싱을 했다는 건 인정해 줘야 한다.





부동산 중개업자, 유통업자, 중간 용역 업체는 과연 그 정도의 노력에 대해 인정해 줘야 하는가? 일단 인터페이스를 만들었지를 생각해보자. 그렇지 않다. 각 업체, peer 들을 연결하기 위한 표준 문서가 있는가? 있기도 하고 없기도 하다. 암튼 오랫동안 기득권을 잡고 거래한 것 외에는 전혀 노력한 게 없다.


기술자들은 유통업자인가? 새로운 상품이 나왔을 때 기술을 배워 상품화한 뒤 판매할 수 있다. 원천 기술은 팔기 어렵고 판매처가 적다. 파생 기술을 가공해 판매해야 기술 적용이 가능하다. 그런 일을 하는 것이 엔지니어, 개발자, 컨설턴트이다. 나는 유통업자 인가? 웹, 모바일, 소스코드, 서버, 네트워크, DBMS, WEB/WAS, 보안시스템 진단 상품을 팔고 있다. 곧 IOT 진단을 팔 예정이고, 시큐어 코딩 적용 같은 상품도 가끔 판매한다.


1가지 메뉴만 고집하는 전문식당 보다는 김밥천국처럼 다양한 메뉴를 파는 가성비 좋은 식당으로 생각할 수 있다. 하지만, 결코 그렇지 않으려는 자존심이 있어, 호텔 조식을 차용한다. 호텔 조식은 동양식, 서양식, 요즘은 할랄도 있는 듯. 아무튼 싸지 않은 가격으로 정말 꼭 챙겨야 하는 필수 코스. 호텔 조식이다. 품질이 떨어지지 않도록 다양한 메뉴를 신선하게 제공할 것이다.





full-stack 개발자로 불리다가 devops를 많이 쓰는 추세이지만, 명확하게 그 둘은 다르다. full-stack 개발자는 서버 구축 부터 클라이언트(front-end)까지 모두 개발 가능하고 당연히 운영까지 할 수 있다. devops는 클라우드 환경을 이용해 물리적 OS 나 WAS, API 서버를 직접 구축하지 않지만, 운영이 가능한 위치이다. full-stack 개발자는 devops가 될 수 있지만, devops는 full-stack 개발자가 되기 어렵다.


단순 유통업자가 레시피를 보고 음식을 만들어 물건을 팔 수 있지만, 동종 업계가 가격 경쟁력 등을 앞세워 진출하면 망할 수 밖에 없다. 호텔 처럼 메인 요리사가 조리 도구 하나부터 챙길 수 있는 능력을 갖춰야 고품질의 가치를 유지시킬 수 있다. 고용주 들은 다들 가성비 좋은 판매자를 채용하려 한다. 그건 근시안적인 행동이다. 직원교육을 제대로 시키고, 물론 의지가 있는 직원이 상품에 대해 정확히 이해하여 고객에게 올바른 정보를 제공해 구매하게 해야한다. 그저 대충 용어나 스킬만 배워서 적당히 팔아 넘기겠다는 생각을 하면 오래가지 못한다. 새로운 상품이나 디테일한 요구사항, 문의사항을 대처할 수 없다.


제품에 대한 제대로된 이해. 기성품을 판매하는 직원이나, 기술을 가공해 제공하는 개발자, 컨설턴트들에게 모두 필요하다. 기자들도 공부하여 제대로 글을 쓴 이들은 악성 댓글이 없다. 그러나 요즘 말장난 제목의 베껴쓴 기사들로 조회수나 올리고 있기 때문에 욕을 먹는 것이다. 개발자, 컨설턴트의 이런 카피앤 페이스트 기업들은 금방 망하게 되어있고, 개인들도 발전이 없다. 그들에게 -레기를 붙일만한 틈음 없는데, 곧 네이밍이 가능할 것 같다.



[ali] Elastic Compute Service 신청

[원문보기]

2달 정도 $50로 서비스 사용이 가능하여, 신청해봤다.


기본으로 하면 $60이 넘어가는 비용으로 산정되서, shared Compact Type으로 했다.


Instance1-core, 1GB Generation III Compact Type xn4
IO optimized instance IO optimized instance
System disk /dev/xvda Ultra Cloud Disk
Bandwidth 5.0000Mbps Data Transfer
CPU 1Core
Available zone Random
OS CentOS 7.4 64bit
Mem 1GB
Region Asia Pacific SE 1 (Singapore)
Network type VPC
Manage service Yes

일단 apache 정도만 설치해봤는데, 추가로 설치하여 속도를 테스트 해봐야겠다.

ssh는 비밀번호 직접 지정하여 별도 key file 없이 쉽게 가능하다.

중국에서 서비스를 신청하려고 했는데, 바꾸지 못했다.

아직은 한국어 지원이 안되지만 곧 지원 예정이라니 aws 나 google 보다는 친절하다.


정보보안기사 필기

[원문보기]

- 축하합니다. 박영식님은 제6회 정보보안기사 필기 시험에 합격 하셨습니다.

과목점수과락여부
시스템 보안65통과
네트워크 보안75통과
어플리케이션 보안65통과
정보보안 일반45통과
정보보안관리 및 법규75통과
총점 (평균)325 ( 65.0 )합격

늘 푸른 청년이라 쓰고, 늙은 청년이라 읽는다

[원문보기]

늘 푸른 청년이라 쓰고, 늙은 청년이라 읽는다


내가 한 말이 아니다.


수고하고 무거운 짐진 자들아 다 내게로 오라 내가 너희를 쉬게 하리라


35가 넘으면 갈 곳이 가정 밖에 없는데, 가정이 형성되지 않으니, 공동체로 들어갈 수 밖에 없다.


아직은 열대 저압부나 열대성 저기압으로도 발전하지 못했지만, 태풍이나 허리케인으로 발전할 수 도 있을지 모른다.


이전 1 ... 43 44 45 46 47 48 49 50 51 52... 76다음
첨부 (1)
20638017_1573143856071664_1233547124703362465_n.jpg
44.6KB / Download 56
위로