SQL 인젝션 생일 축하해, 해결할 수 없는 버그
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
SQL 인젝션 탄생 22주년입니다. 이 취약점을 충분히 마셔버릴 수 있을 만큼 오래되었음에도 불구하고 우리는 이 취약점을 영원히 부수는 대신 더 나은 결과를 가져오도록 내버려 두고 있습니다.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
