SQL 인젝션 생일 축하해, 해결할 수 없는 버그
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
SQL 인젝션 탄생 22주년입니다. 이 취약점을 충분히 마셔버릴 수 있을 만큼 오래되었음에도 불구하고 우리는 이 취약점을 영원히 부수는 대신 더 나은 결과를 가져오도록 내버려 두고 있습니다.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示下载
%20(1).avif)
.avif)
