Abusing, Exploiting and Pwning with Firefox Add-ons

Ajin Abraham

발표는 Firefox 부가기능(add-on) 보안 모델의 남용과 악용, JavaScript 기능, XPCOM XPConnect 인터페이스, CORS WebSocket 같은 기술, 세션 저장 전체 권한 실행 악의적인 목적으로 해커 의해 악용 있음을 설명합니다. 널리 인기 있는 브라우저의 부가기능(add-on)은 기밀 데이터의 도난 및 전체 시스템 손상을 일으키는 새로운 악의적인 공격 백터를 실행 할 수 있는 해커의 표적이 될 수 있습니다. 이 논문은 Mozilla 가 악성 플러그인과 부가기능(add-on)에 대하여 더 안전한 구조를 갖추고 출시한 Firefox 17의 부가기능(add-on)코딩을 남용, 악용을 통해 애드온 (add-on)컨셉을 증명함으로써 지원됩니다. 개념의 증명은 Local keylogger, 원격 keylogger, 리눅스 패스워드 파일 훔치기, spawning a Reverse Shell, 인증된 firefox 세션 데이터 훔치기 및 원격 DDoS 공격 포함하고 있습니다. 이러한 공격 벡터는 모든 안티 바이러스 솔루션에 대한 완벽하게 감지할 수 없으며, 보호 메커니즘을 통과 할 수 있습니다.


A Call for Drastic Action: A Survey of Web Application Firewalls

Jaeson Yoo

웹 어플리케이션 방화벽(WAFs)은 현대사회에서 명백하게 필요하게 되었습니다.

Gartner에 따르면, 75% IT 공격 대상은 웹 어플리케이션 층이라고 합니다. 올해 초에 Ponemon Institute는 지난 2년동안 93%의 기관이 안전하지 않은 웹 어플리케이션을 통해 해킹 당했다고 발표하였습니다. 이 것은 우리의 일상 업무에 많이 사용하는 웹 서버의 취약점을 설명하는 놀라운 수치이며, 취약점을 해결하는 웹 어플리케이션 방화벽의 중요성을 보여줍니다.

왜 많은 기업이 웹 어플리케이션 방화벽을 설치하기를 꺼려할까요? 무엇보다도, 그들은 웹 어플리케이션 공격을 다루기 위하여 특별하게 설계되었습니다. 웹 어플리케이션 방화벽은 웹 공격을 차단하기 위해 검증되었으며, 어떤 경우에는 웹 공격에 대항하는 효과적인 대책을 제공합니다.

첫 번째와 2 세대 웹 어플리케이션 방화벽을 자세히 알아보면, 우리는 이 질문에 대한 답을 찾을 수 있습니다. 현재까지, 웹 어플리케이션 방화벽은 수정된 공격, 잘못된 탐지 및 관리자에게 주는 과도한 부담에 의해 손상되었습니다.

웹 어플리케이션 방화벽 첫 세대는 패턴 매칭 방식이며, Black List의 출현을 가져왔습니다. IT 보안 관리자는 알려진 공격 패턴을 추가하고 블랙리스트를 형성하기 위해 유사한 패턴을 컴파일 합니다. 그렇게 함으로써, 웹 어플리케이션 첫 세대는 웹 트래픽과 업데이트된 패턴을 비교하고, 어플리케이션 층에서 그것들을 분석합니다. 리스트는 고정되었으며, 웹 어플리케이션 층에 맞서는 신규 또는 수정된 공격을 위한 탐지 시스템이 없다는 것을 의미합니다.

웹 어플리케이션 방화벽 첫 세대는 IT 보안 시장에서 특별히 성공하지 못했습니다. 아마도 대부분의 기업들은 기존 침입 탐지 / 방지 시스템을 유지하고, 이러한 구성 요소가 OSI 7 계층이나 웹 어플리케이션 층에 조금 안 좋은 영향을 끼친다는(did painfully little for) 사실을 무시하고 싶었을 것입니다. 아마도 기업들은 기존에 구매에 투자 수익을 실현하고 싶었을 것입니다.

그러나 이것은 웹 어플리케이션 방화벽 첫 세대가 실망스러운 판매에 아무 것도 할 일이 없다는 것을 의미하지 않습니다. 첫째, 무거운 작업 부하는 결점이 있습니다. 관리자는 지속적으로 알려진 공격 패턴을 블랙리스트에 업데이트 하였습니다.

이것은 최종 사용자도 같은 팀이 있다고 가정한다면, WAF 관리 팀에 많은 시간을 필요함을 의미합니다. 이것은 특히 재정난에 처한 기관에 매력적이지 않는, 더 자주 더 많이 사람을 고용해야 함을 의미합니다. , 당신은 WAF에 투자할 뿐 아니라, 이것을 관리하는 고도로 숙련된 IT 직원에 대한 비싼 투자도 해야 합니다.

첫 번째 세대 WAF가 최고 수준의 보안을 제공하였다면, 아마도 추가 투자는 가능하였을 것입니다. 하지만, WAF는 새로운 또는 수정된 공격으로부터 보호하지 못하였습니다. 또한, 그들은 상당한 잘못된 탐지를 만들었습니다. 무엇보다도, 한계 보안을 위한 모든 작업은 또한 성능저하의 결과입니다. 3,000 이상의 시그너처 기반의 규칙을 입력하면, 시스템 성능이 저하하기 시작합니다. 5,000 시그니처 이상은 새로운 규칙을 위하여 오래된 규칙을 삭제할 수도 있다는 것을 의미합니다.

이러한 제한 사항에 비추어, WAF 제공 업체는 이러한 문제의 일부를 해결하기 위해 2 세대 솔루션으로 내놓았습니다. 2세대 WAF는 화이트 리스트나 모든 허용 트래픽을 포함하는 리스트를 가지고 있습니다. 화이트 리스트가 본질적으로 자동 보안 정책 역할을 하기 때문에, 블랙리스트와 함께 화이트 리스트를 사용함으로써, 업데이트된 WAF WAF 관리자를 위하여 일을 더 쉽게 하려고 하였습니다.

불행하게도, 2세대 WAF는 인력 요구사항을 완화하였습니다. 사실, 이러한 업데이트된 WAF는 관리자에게 무거운 작업 부하의 결과를 초래하였습니다. 화이트 리스트는 구현하기 위하여 최대 2주가 소요되었습니다. 또한, 자동화된 보안 정책은 관리자 일을 더 쉽게 만들려고 하였음에도 불구하고, 2세대 WAF는 아직도 수동 구성을 필요로 합니다. 이 것은 더 많은 일을 의미합니다.

더 큰 웹 보안을 의미한다면, 아마도 이러한 모든 문제는 모두 간과되었을 것입니다. 그러나 이 경우 아니었습니다. 이것은 여전히 알 수 없거나 수정된 공격에 취약을 의미하는 패턴 매칭 솔루션이었습니다. 이것은 상당한 속도로 잘못된 탐지를 만들었습니다. 또한, 화이트리스트는 시스템 성능 문제를 악화시켰습니다.

WAF는 명백하게 필요합니다. 하지만 첫 번째, 두 번째 솔루션은 상당히 부족하였습니다. 더 중요하게, 해커들은 매일 매일 더 정교하게 성장하고 있습니다. 그러면 어떤 것이 필요할까요? 완전히 새로운 개념을 기반으로, 지능형 WAF가 필요합니다. 이 새로운 WAF는 웹 트래픽을 분석 할 수 있으며, 분석 및 modus operandi를 분류하여 공격을 감지해야 합니다. 공격을 감지한 후에, WAF는 위협을 막기 위하여 적절한 대책을 적용해야 합니다.

그리고 마지막으로, 실직적인 목적을 위하여 (특히 전체적으로 보안 관리자 부서를 고용할 수 없는 작은 기업을 위하여), WAF는 지속적인 관리자의 참여 없이, 이 모든 작업을 수행해야 합니다. , 고객에 대한 관리 부담을 줄이고, 더 나은 보안을 제공하기 위하여 새로운 솔루션은 필요합니다.


Design Secure Web Applications

Ashish Rao

어플리케이션을 개발할 때, 우리는 보안 코딩을 파악하고, 넓은 범위에 사용하고 있습니다. 하지만, 우리는 동일하게 보안 디자인에 관심을 가지고 있나요? 아마도 대부분의 사람들은 아니라고 말할 것입니다. 디자인 단계의 결함은 적게 알려진 개념이지만, 이 결함은 어플리케이션에 큰 위험을 끼칩니다. 이러한 결함은 정적 또는 동적 어플리케이션 스캔에서 발견하기 어렵지만, 대신 수동으로 그것들을 알아내기 위하여, 어플리케이션 아키텍쳐나 레이어에 대한 깊은 이해가 필요로 합니다. 사업이 증가함에 따라, 어플리케이션 디자인과 아키텍처의 복합성의 필요 또한 증가하고 있습니다. 오늘날 어플리케이션에서 사용자 정의 디자인 기술과 다양한 기술의 사용이 늘어나고 있습니다. 하지만, 이 안에서, 우리는 디자인 단계 보안을 고려해 보았습니까?

보안 코딩만이 다중 계층의 사용자 정의로 디자인된 어플리케이션을 안전하게 보호하는데 도움을 줄까요?

이 질문이 당신이 고민하게 한다면, 이 프레젠테이션은 당신이 답을 발견하도록 도와줄 것입니다.

이 프레젠테이션은 개발자와 설계자가 보안 어플리케이션 디자인을 구축하는데 꼭 적용해야 하는 몇 가지 중요한 보안 설계 원칙 강조에 초점을 맞추고 있습니다일부 디자인 결함의 도움으로, 우리는 보안 위험에 노출된 디자인의 영역과 그들을 피할 수 있는 방법을 볼 수 있습니다.


Dissecting Smart Meters

Justin Searle

Smart Grid는 전기 유틸리티와 고객에 대한 더 큰 혜택을 제공합니다. 하지만 이러한 혜택은 보안 측면에서 비용이 발생합니다. 이 프레젠테이션은 대부분의 Smart Meters, 그들이 사용하는 프로토콜, 내부 구성요소의 고장 그리고 헤드엔드 서버가 포함된 기능의 구조를 살펴볼 것입니다. 우리는 모의 해킹을 수행하기 위하여 이러한 AMI 시스템을 개발한 방법을 설명하고, 일반적으로 찾은 취약점의 유형을 열거하고, Smart Meter 업체에 추천하는 해결책을 논의할 것입니다. 우리는 모의 해킹에서 일반적으로 실행하는 공격을 적어도 하나를 보여줄 것입니다. 우리가 보통 미디어나 다른 Smart Grid 프레젠테이션에서 볼 수 있는 FUD나 과장 광고된(over-hyped) 프레임 없이 할 것입니다


The Droid Exploitation Saga

Aditya Gupta & Subho Halder

이 발표에서는 우리는 Android Security Exploitation의 최신 트렌드를 논의할 뿐 아니라 우리가 디자인한 ‘Android Framework for Exploitation’이라고 불리는 Framework을 이용하여 모든 가능한 공격을 다룰 것입니다.

우리는 Exploit를 사용하거나 AFE를 이용하여 악성코드를 생성하여 안드로이드 기기에 얼마나 쉽게 침입할 수 있는지 보여줄 것입니다. 또한, 악성코드가 ‘anti-malwares’에 의해 감지될 경우, 당신은 framework을 이용하여 다시 감지되지 않는 옵션을 가질 수 있습니다.

AFE가 만든 악성코드의 도움으로 당신이 도용할 수 있는 것은 연락처, 통화기록이나 문자메시지에 국한되지 않고, 당신은 또한 어플리케이션의 구체적인 정보를 도용할 수 있습니다. (데이터베이스 파일에 포함되거나 컨텐츠 제공자를 사용하여 저장된 정보)

우리는 실제 시연과 함께 각 주제를 다룰 것이며, 가장 인기 있는 안드로이드 어플릴케이션의 일부 취약점의 사례 연구에 대해 설명할 것입니다.


Growing sophistication of DDoS attacks

John Ellis

2012년 DDoS 공격은 양적, 질적으로 진화하였습니다.

단순한 SYN Flooding 등으로만 공격이 이루어지는 시절은 지났습니다. 지금은 보다 강력한 사이버 무기로 진화하였습니다. 진화한 DDoS 공격은 사이버 강탈, 사기 조장, 사이버 범죄, 핵티비스트 등으로 사용될 수 있습니다.

존은 진화된 DDoS 공격에 대한 연구를 하였습니다. 이런 공격들을 어떻게 방어할 것이며, 보안 자원을 어떻게 사용할 것인가도 고려해 봐야 합니다.


Hacking Authentication Checks in Web Applications

Siddharth Anbalahan

인증은 보안 공격에서 가장 선망 높고 목표가 되는 기능 중 하나 입니다. 이것의 중요성 및 민감성에도 불구하고, 우리는 아직도 어플리케이션에서 강력한 제어를 구현하는데 실패하고 있습니다. 개발자는 바로 이해하지 못하는 것 같으며, 보안 연구자들은 단지, 결함을 파악하는 것을 중지할 수 없습니다. 이 강연에서 우리는 웹 어플리케이션에서 4가지 안전하지 않은 인증 제어를 살펴볼 것입니다. 당신은 놀랄 것이며, 대부분의 어플리케이션이 이러한 결함이 되기 쉬운지 이해할 수 있을 것입니다.


HTML5 를 이용한 웹 기반 보안위협 및 대응

주한익(Hanik Joo)

HTML5 는 기존 버전의 HTML 만으로는 불가능 했던 다양한 기능들을 구현해 주는 차세대 표준 언어 입니다. 하지만 구현의 폭 만큼 공격가능 포인트가 확장된 것도 사실이며, 웹 기반 보안 위협에 대한 기존 대응책들을 우회하는 것이 가능하게 되었습니다. 해당 발표에서는 HTML5 에서 새롭게 추가된 기능들을 이용하여 브라우저에서 발생할 수 있는 보안 위협들을 시연하고 대응 및 완화 방법을 다룹니다. 발표 및 시연에 포함될 내용들은 다음과 같습니다.

  • XHR Level2 를 이용한 CSRF
  • HTML5 에 새롭게 추가된 테그 및 속성을 이용한 XSS
  • 자바스크립트를 이용한 Web Storage 정보 추출
  • 자바스크립트를 이용한 WebSQL 정보 추출
  • Web Worker 인젝션


Invisibility Purge – Unmasking the Dormant Events of Invisible Web Controls – Advanced Hacking Methods for Asp.Net, Mono and RIA

Shay Chen

웹 컨트롤은 많은 유명한 플랫폼에 공통이 되고 있으며, 개발을 가속화하여 소프트웨어 라이프 사이클을 강화하고, 개발자가 사용자 정의 컨텐츠를 재사용하도록 지원하였습니다.

ASP.Net Mono 플랫폼에서 웹 컨트롤의 구현은 일반적으로 최소한의 노력으로 어플리케이션의 보안을 향상할 수 있는 기능이 포함되어있습니다.

권한 검증, 낮은 권한이 있는 사용자에 대한 중복된 페이지에서 삭제, 비활성화 컨트롤, 또는 다른 사람 미리 정의된 역할이 있는 사용자에게 오프라인으로 표시와 같은 웹 컨트롤에 대한 액세스를 제한하는 여러 가지 방법이 있습니다.

그러나, 이벤트 활성화 메커니즘은 또한 양날 칼이 될 수 있습니다.

숨김 기능(Invisibility)은 정의적으로 관찰자의 눈입니다.

대상은 일부 눈에는 보이지 않을 수도 있지만, 찾을 수 있도록 설계된 기구에서는 여전히 볼 수 있습니다.

새로운 연구는 공격자가 ASP.Net Mono 와 같은 유명한 플랫폼에서도 정체를 밝히려고 활용하고, 열거하고, 숨겨진 웹 컨트롤의 이벤트를 활성화 할 수 있는 여러 가지 방법을 보여줍니다.

사소한 실수나 올바른 조건은 이 개발 모델을 공격에 비옥한 땅으로 만들고, 공격자가 제어의 보안 기능을 완전히 무시 할 수 있도록, 그리고 제한되고 휴면 상태 서버 측 이벤트를 이용할 수 있습니다.

보이지 않는 컨트롤 찾기, 다양한 기본 및 사용자 지정 보안 대책에도 불구하고, 숨겨진 이벤트 정체 밝히고, 활성화하기 한 번의 이론이 아닌, 지금은 수동적으로 수행하거나 고안된 툴로 사용할 수 있는 단계적인 방법입니다.

이 프레젠테이션은 보이지 않는 웹 컨트롤 찾기, 비밀 이벤트 정체를 밝히기 및 휴면 상태 코드를 활성화 하기에 사용될 수 있는 여러 가지 방법을 보여줄 것입니다. 또한, Diviner extension의 다음 버전에 포함될 고안된 모듈, OWASP ZAP proxy project의 확장을 논의할 것입니다.


Missile of Cyber-terrorism, the reality of APT and Countermeasures

Security Expert, Growing

APT 공격은 지능형하고 세련된 해킹을 대표하고 있습니다. 결과적으로, APT tackets를 방해하는데 사용될 수 있습니다. 이 논문은 APT의 현실을 이해하는 제안을 하였습니다. , APTs 정의, 속성 및 주기 입니다. 파생 속성에 따라, 보안 방어 전략은 다르게 권장합니다.


Open Source Metasploit - The Elixir of Network Security

Harish Chowdhary and Shubham Mittal

오늘날 모든 조직에서는 적극적으로 통신에 의존하고 있습니다. 조직의 모든 부분은 조직의 이익을 위해 상호간에 긴밀하게 움직이고 있습니다. 컴퓨터 네트워크는 상호간 의사소통 및 통신을 위해 주로 IT 조직의 가장 중요한 부분 중 하나를 의미합니다. IT 조직에서 네트워크 보안의 근간은 기업, 정부기관 등 모든 규모의 조직을 위한 중요한 관심사입니다. 오늘날의 많은 위험은 네트워크 보안에 대한 구성 방식을 요구합니다. 네트워크에서의 정보는 피와 같은 주요성이 있습니다. 그러나 중요한 정보 손실로 이어지는 네트워크 침해 증가는 결국 비즈니스 및 신뢰성 손실이 명확함에도 불구하고 컴퓨터 네트워크는 보안되지 않고 있습니다. 그렇기 때문에 스스로 보안에 대한 테스트를 수행하여야 합니다. 네트워크 보안 테스팅(METASPLOIT)에 대한 가장 효과적인 오픈소스 프레임워크를 제공합니다.

Metaspliot이 무엇이며, 어떻게 사용하는지, 장점이 무엇인지 또한 어떻게 설정하는지를 설명합니다. 또한 사이버 공격에서 네트워크 침입을 찾고, 침입에 대응하기 위한 방안을 제시합니다.Metasploit이 무엇이며, 보안전문가로서 활용하는 방법이 무엇인지에 대해 자세한 설명을 통해 이해를 돕고자 합니다.


Putting Security within the SDLC via Application Threat Modeling

Tony UV

어플리케이션 환경을 위한 효율적인 위험 관리의 착각이 지속적으로 확산되므로, 기업들은 그 비용이 정당하고, 효율적이거나 보안을 향상시키는지 진정으로 알지 못하고, 지속적으로 엄청난 보안 비용을 지출하고 있습니다. 병렬적으로, 하이브리드는 자극적인 보안 전략은 익숙한 환경에서 개념적 아이디어를 넘어 실제 어플리케이션으로 이동되고 있다고 생각합니다. 어둠 속에 잠복되어있는 향상된 위협 모델에 대한 기존 보안 노력의 활용인 어플리케이션 위협 모델링은 과장을 넘어서 실제적이고 합리적인 보안 전략을 제공하는 지역 중 하나입니다.

이 프레젠테이션은 어플리케이션위협 모델링과 관련된 실습과 실용적인 어플리케이션을 발견하고자 합니다. 동적 분석, 정적 분석, 사고 모니터링, 취약성 관리, 사회 공학, 침투 테스트 등의 다중 보안 집중 분야로 통합이 포함됩니다.

이 프레젠테이션의 목적은 오늘날의 어플리케이션 보안을 위하여 깨진 위험 분석모델 이상으로 발전하기 위하여, 적절히 보안 정보를 통합하고 활용한 어플리케이션 위협 모델링의 효율성과 효과를 설명하는 것입니다. 이 발표의 일부로 PASTA (공격 시뮬레이션 및 위협 분석을 위한 프로세스) 방법론이 소개될 것입니다.

대상 청중은 IS IT 전문가를 포함하고, 이상적으로 개발자, 프로젝트 매니저, 시스템 관리자, 품질보증 엔지니어, 보안 분석가, 펜 테스터, 네트워크 엔지니어, 보안 위험 분석가, 심지어 준수 전문가의 단면을 제공합니다.

프리젠테이션에 적용되는 심도있는 수준으로 인해, 데이터 플로우 다이어그램, 어플리케이션 분해 실습, Building Security-In Maturity Modeling, Software Assurance Maturity Modeling 등과 같은 기존 프레임워크에 대한 상관 관계를 다루게 됩니다.


Securing data with a Data Encryption Infrastructure

Arshad Noor

전 세계의 데이터 보안 규정이 증가하고 기업들이 이를 유지하기 위하여 도전함에 따라, 민감한 데이터의 암호화는 보편적인 안전항구가 되었으며, 데이터의 무단 공개에 대한 방어의 마지막 보루위임되거나 높은 모든 규정에서 권장하고 있습니다.

신용카드 번호, 은행 계좌번호 등과 같은 데이터 요소 구조의 보호가 케이스 별로 어플리케이션에 의해 다뤄지는 반면, 우리는 구조화되지 않은 민감 데이터가 동일하게 매력적인 대상이 되는 시대에 들어서고 있습니다. 공격자들에게는 그들의 동기와 지지자들에 따라 군사 문서, 의료 데이터, 새로운 제품의 청사진, 금융, 법률 문서 등도 신용카드 번호와 동일하게 가치가 있습니다.

기업들이 사안별로 이러한 문서의 보호를 해결하는 것이 가능한 반면, 아래 요구사항을 다루는 유비쿼터스 네트워크 서비스에 배포하는 것이 더 효율적입니다.

  • 통신을 위하여 서비스 (DNS 또는 DHCP와 유사)에 단일 포인트 / 프로토콜을 제공
  • 모든 플랫폼이나 프로그래밍 환경에 액세스 가능
  • 암호화 작업의 자동화 된 스케줄링을 제공 (동기 및 비동기)
  • 자동 키 관리 제공 자동화 된 키 관리 기능을 제공 (생성, 에스크로, 복구 등)
  • 처리 부하의 peaks/valleys을 해결하기 위해 자동 저울의 암호화 기능
  • 기존 ID 및 액세스 관리 (IAM) 인프라와 통합
  • 기존의 공공 / 민간 클라우드 서비스와 통합
  • 로드 밸런싱을 제공하며 고도로 사용 가능
  • 어디서든 모든 데이터 보안 규정의 규제 요구 사항을 충족

파이프 꿈 같은 소리이지만, 본 논문은 세계에서 가장 큰 전자 상거래 업체 중 하나에, 이 논문은 수억 달러의 가치가 있는 구조화되거나 구조화되지 컨텐츠를 보호하기 위해 이러한 네트워크 서비스의 실제 구현 사례를 제시하고 있습니다. Regulatory Compliant Cloud Computing (RC3)-클라우드 컴퓨팅 보안을 위한 웹 어플리케이션 아키텍처-는 이 작성자에 의해 시드니 OWASP AppSec APAC 2012에서 발표되었습니다. RC3는 세계적으로 주목받고 있으며, IBMBRIC 시장을 위하여 developerWorks 웹사이트에 (http://ibm.co/rc3dw) 이 논문을 중국어, 포루투갈어, 러시아어로 번역하였으며, 이 논문은 AppSec APAC 2012이후에 전 세계 여러 다른 컨퍼런스에 발표되었습니다.

처음으로, 실제 RC3이 구현, 그리고 데이터 보호 요구 사항을 해결하기 위해 다른 사람이 경험을 활용할 방법에 대해 설명합니다. 이것은 2012 RC3 논문에 기재된 신조를 지원하기 위하여, 아키텍처, 기술 구성요소 (FOSS) 및 성능 데이터의 세부사항을 포함합니다.


Security Challenges of Hybrid Mobile Applications

Mikko Saario

하이브리드 기술 스택을 활용한 모바일 응용 프로그램 개발은 기존의 경쟁력을 재사용하여 마켓에 새로운 앱을 가져오는 빠른 방법입니다. 하이브리드 기술은 본질적으로 어떤 언어든 간에 1개의 ‘native’ 언어를 사용하는 대신에 여러 가지 코딩 언어를 사용하는 것을 의미합니다. 각각의 구별된 플랫폼을 위한 고가의 개발을 방지하기 위하여, 종종 기존 코드와 서비스는 재사용 됩니다. 이 방법은 데스크탑 웹모바일 웹이 빠르게 통합되며, 코드는 점점 공유되고 재사용 됩니다, 이 프레젠테이션의 포커스된 기술은 Windows Phone 8 Qt framework입니다. Mikko는 여러 기술 스택을 혼합될 때, 공격으로부터 사용자와 응용 프로그램을 보호하기 위하여, 두 플랫폼에서 어떤 종류의 기본적인 보안 매커니즘이나 공격이 존재하는지 또는 존재하지 않는지를 살펴볼 것입니다. 기술 개발의 가능성 확장은 모바일 어플리케이션에 기존 공격과 새로운 공격의 표면를 열었습니다. 예를 들어, Windows Phone 8는 기존 존재하는 C# 실버라이트와 웹 기술을 통합함으로서 C++의 어플리케이션을 구현하는 가능성을 소개하였습니다. 버퍼 오버플로우가 돌아올까요? QTC++의 상단에 빌드되고, 예를 들어 신속하게 크로스 플랫폼 응용 프로그램을 개발하기 위하여 웹킷과 QtQuick (인라인 자바 스크립트와 QML) 기술을 구현하고 있습니다. 이러한 여러 스택의 통합은 모바일 응용 프로그램에 대해 충분한 공격 표면을 제공합니다.

이 프레젠테이션은 Native code와 자바스크립트를 Qt/QML 스택에서 통합할 때, 보안 함정, QT 특정 XSS 및 기타 인젝션 문제, 두 플랫폼에서 webview에서 코드를 배포, 일반 사용자 보안 지표의 부족, 악성 코드가 하이브리드 환경에 노출되어 네이티브 메소드를 식별 할 수 방법, 동일한 기원 정책과 코드 샌드 박스가 전형적인 데스크탑 브라우저에서 다른 방법, Windows Phone에서 위치 정보 유출하는 방법, Windows Phone 7.5 그리고 그 이상 버전에서 헤더 없는 브라우저 대 IE Mobile 사용할 때의 놀라운 차이점을 다룰 것입니다. 라이브 데모 어플리케이션을 이용하여, Windows Phone 8에서의 몇 가지 하이브리드 플랫폼 이슈 및 위협을 설명할 것입니다.

테스트를 통해, WP8 Qt platforms에서 취약점이 발견되었으며, 업체가 문제를 해결하였거나 정보가 이미 공개되었을 경우, 이 것들은 데모될 것입니다.


Using the Wisdom of the Crowd to Enhance Application Security

Moshe Lerner

보안 중심의 소스 코드 분석 도구는 잘 정의 된 해킹에 대한 취약점을 감지하고 개선하기 어려운 결과만을 반환하는 경향이 있습니다두 가지 문제 존재: 어떻게 위 설명에 속하지 않는 사항들을 개선 할 수 있습니까? 어떻게 하면 해결 할 수 있는 능력을 향상시킬 수 있습니까?

이러한 문제는 오늘날의 짧은 개발주기와 대형 응용 프로그램에서 늘어나는 요구사항 때문입니다이러한 환경에서 자동화와 정확도는 예방조치와 취약점 탐지율을 높이기 위한 필수항목입니다이 연구는 빅 데이터 분석을 위해서 꼭 필요한 기술입니다.

이 발표에서 우리의 연구 방법론과 결과를 설명합니다내용은 아래와 같습니다:

     1. 빅 데이터 영역에서 새로운 기술을 채택하고 소스 코드 분석에 적용합니다.

     2. 코드 부정 사용을 대중의 지식(큰 규모의 애플리케이션 레퍼런스)을 활용해서 보안 취약점을 발견합니다.

     3. 많은 양의 결과를 최적화하여 취약점을 개선하려면 스마트 그래프 방법론을 사용합니다.


Web Security - New Browser Security Technologies

Tobias Gondrom

현재 브라우저에서 발생하는 위험들을 대응하기 위해 새 브라우저 보안 기술이 필요하게 되었습니다이는 채널 보호를 제공하고 Clickjacking, XSRF, XSS를 예방하는 진보된 기능들을 제공합니다.

최근 몇 개월 동안 글로벌 표준 개발 기관 및 브라우저 업체는 웹 응용 프로그램 개발자가 새로운 메커니즘을 사용하여 보안 문제에 대응 할 수 있도록 돕고 있습니다. 내용은 아래와 같습니다.

     1. 채널 보호: Man-in-the-middle-attacks에 대한 SSL, 새로운 기술: HTTP Strict Transport Security Pinning of Certs

     2. XSS clickjacking에 대한 보호 : X-Frame-Options의 미래와 콘텐츠 보안 정책

이 기술은 새로운 기술이며 아직 완벽하지는 않지만 6개월 후 발표를 앞두고 있습니다.


What your CISO has not told you - Outbound security of cloud and enterprise web services

Wong Onn Chee

이 발표에서는 CISO에게 언급하지 않는 중요한 것을 다룹니다클라우드과 기업 e-서비스, 모바일을 통해 전 세계 누구나 24 시간 연중 무휴 액세스 할 수 있는 환경입니다그러나 지난 수십 년 동안 기업 e-서비스의 아웃 바운드 위험을 무시하고 클라우드 및 모바일 서비스를 계속하고 있습니다아웃 바운드 보호가 없다면 개인정보 누출, 악성 코드로 인한 방문자 감염, 변조된 웹 페이지 표시 등 발생할 수 있으며, 이는 고객의 신뢰를 잃게 합니다데이터 정보보호 법률이 엄격해지고 있습니다.

많은 조직들이 아웃 바운드 보호를 하지 않고 계속 방치한다면 법적인 처벌을 면하기 힘들 겁니다악성 코드 전송 및 변조된 페이지 표시하는데 사용 되는 웹 사이트가 증가하고 있는 상황입니다아웃 바운드를 보호하지 않을 시 발생할 수 있는 사례를 발표합니다