SQL 인젝션 생일 축하해, 해결할 수 없는 버그
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
SQL 인젝션 탄생 22주년입니다. 이 취약점을 충분히 마셔버릴 수 있을 만큼 오래되었음에도 불구하고 우리는 이 취약점을 영원히 부수는 대신 더 나은 결과를 가져오도록 내버려 두고 있습니다.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
이 기사의 한 버전은 원래 에 게재되었습니다. 헬프넷 보안.여기에서 업데이트 및 신디케이트되었습니다.
코드에 어느 정도 익숙해야 하는 실무 사이버 보안 역할을 맡고 있다면 SQL 주입에 대해 몇 번이고 생각해야 했을 가능성이 큽니다.이는 흔한 취약점으로, 최초 발견 후 몇 주 내에 간단한 해결책을 찾을 수 있음에도 불구하고 계속해서 당사 소프트웨어를 괴롭히며 배포 전에 탐지하지 못하면 잠재적 공격자가 될 수 있는 기회를 제공합니다.
2020년 12월 13일은 SQL Injection의 22번째 생일이 되는 날이었습니다. 이 취약점은 충분히 마실 수 있을 만큼 오래되었음에도 불구하고 우리는 이를 영원히 부수는 대신 더 나은 결과를 얻을 수 있도록 하고 있습니다.올해 8월에 Freepik Company는 다음과 같은 사실을 공개했습니다. SQL 인젝션 실수의 희생양이 되었습니다 이로 인해 830만 명의 사용자 계정이 손상되었습니다.이들 중 다수는 타사 로그인 (예: Google, Facebook) 을 사용했지만, 암호화되지 않은 비밀번호가 사용자 이름과 함께 노출된 사람은 수백만 명에 달했습니다.안타깝게도 이러한 사건으로 인한 여파는 그들과 다른 많은 사람들에게 큰 골칫거리이며 사용자와의 신뢰를 회복하는 것은 장기적인 과정입니다.
기존 문제로 간주되는 문제로 이 이정표를 “축하”하는 동안 잠시 분석해 보겠습니다.이런 문제가 계속 나타나는 이유는 무엇일까요? OWASP Top 10 상위 10위 안에 들지 못해서 아직도 위험한 이유는 무엇일까요? 그리고 비교적 간단한 수정으로는 소프트웨어 개발의 일반 벤치마크 표준에 포함되지 못하는 이유는 무엇일까요?
SQL 인젝션이 2021년에도 여전히 관련이 있는 이유는 무엇입니까?
최근의 세간의 이목을 끄는 보안 침해 사례를 간단히 살펴보면 FireEye에 대한 파괴적인 사이버 공격는 놀라운 수준의 정교함을 보여줍니다. FireEye Heist에 맞게 맞춤화된 것으로 보이는 다양한 고급 기술을 활용한 고도로 조정된 국가 차원의 공격이었습니다. FireEye의 CEO Kevin Manda는 성명에서 다음과 같이 말했습니다.
”공격자들은 특히 표적과 목적에 맞게 세계 최고 수준의 능력을 조정했습니다. 공격 파이어아이.이들은 운영 보안에 대한 고도의 교육을 받았으며 규율과 집중력을 가지고 실행에 옮겼습니다... 과거에는 당사나 파트너가 볼 수 없었던 새로운 기술을 조합하여 사용했습니다.”
이는 모든 CISO에게는 악몽과도 같은 일입니다. FireEye에 이런 일이 발생할 수 있다면 많은 기업이 실제로 얼마나 취약한지 알 수 있습니다.
... 단, 짝수예요 보다 나쁜 일반 조직을 위한 뉴스.FireEye는 세계에서 가장 유명한 사이버 보안 회사 중 하나입니다. FireEye에 대한 성공적인 공격에는 지도자 수준의 사기꾼들이 자신이 가진 모든 것을 동원하여 조직적인 대규모 처형을 감행했습니다.대다수 기업의 경우 단순한 버그를 악용하여 마스터마인드가 전혀 필요 없이 신속하게 악용함으로써 수익성 높은 데이터 유출이 발생할 수 있습니다.SQL 인젝션은 후자의 일반적인 예인데, 다크 웹에서 돈을 빨리 벌고자 하는 스크립트 전문가들이 여전히 활용하고 있습니다.
2020년 5월, 한 남자가 신용 카드 밀매 및 해킹 혐의로 기소되었습니다, 수십만 개의 활성 신용 카드 번호가 저장된 디지털 미디어를 발견했을 때.그는 SQL 인젝션 기법을 사용하여 이 모든 데이터를 수집했는데, 이 과정에서 많은 기업과 수백만 명의 고객이 피해를 입었습니다.
산업으로서 우리는 입니다 항상 개선되고 있지만 SQL 인젝션은 여전히 심각한 위협이며 레거시 시스템이나 패치가 적용되지 않은 시스템보다 훨씬 더 많은 영향을 미칩니다.
개발자가 이를 유지하는 이유 (그리고 개발자의 잘못이 아닌 이유)
우리는 SQL 인젝션은 수정하기 쉽고 코드를 작성하여 전혀 도입하지 않아야 한다고 계속 말하고 있습니다.대부분의 경우와 마찬가지로 올바른 방법을 배운 후에야 쉽게 할 수 있습니다.
여기에서 소프트웨어 개발 프로세스의 바퀴가 흔들리기 시작합니다.개발자들도 같은 실수를 저지르면서 코드베이스에 침투하는 SQL 주입과 같은 취약점이 반복되고 있습니다.하지만 이는 놀라운 일이 아닙니다.대부분의 엔지니어는 보안 코딩에 대해 많은 것을 배우지 못한 채 학위를 마칩니다.대부분의 실무 교육은 부적절합니다. 특히 보안이 업무상 업무 우선 순위로 간주되지 않는 환경에서는 더욱 그렇습니다.
우리는 개발자들이 보안에 신경을 써야 할 이유도 없고, 보안을 더 잘 인식할 수 있는 강력한 플랫폼을 제공하지도 않습니다.잘못된 코딩 패턴은 SQL 인젝션과 같은 버그를 계속 살리고 있습니다. 따라서 개발자의 보안 인식에 더 중점을 두고 더 높은 수준의 안전하고 품질 좋은 코드를 작성할 시간을 주어야 합니다.보안 코딩 패턴은 작성하는 데 시간이 더 오래 걸릴 수 있지만, 여기에 소요되는 시간은 프로세스 후반부에 매우 중요한 효율성을 제공합니다.
SQL 인젝션 장례식이 있을까요?
장례식에 대한 비유는 약간 병적입니다. 하지만 SQL 주입이 영원히 중단된다면 우리의 민감한 데이터는 더 안전할 것입니다.하지만 그렇게 되기 전에 생일을 몇 번 더 축하할 것이라고 확신합니다. 예방적 보안과 보안 코딩에 중점을 두는 문화가 제대로 발전하지 못했기 때문입니다.
Rust와 같이 더 새롭고 보안이 강력한 언어는 더 안전한 기능을 활용하여 오랫동안 다루어온 일부 버그를 근절하는 데 도움이 되지만, 계속해서 사용되고 잠재적으로 취약할 수 있는 레거시 소프트웨어, 오래된 시스템 및 라이브러리는 엄청나게 많습니다.
“쉬운” 익스플로잇이 영원히 종료되는 것을 보려면 개발 프로세스의 보안에 대한 공동 책임 (안녕하세요, DevSecOps) 이 매우 중요할 것입니다.개발자들은 처음부터 여정에 참여해야 하며, 더 안전하고 더 나은 코드를 만드는 데 자신이 맡은 역할을 책임질 수 있도록 지원해야 합니다.
개발자는 코드의 SQL 인젝션 버그 수정에 어떻게 접근해야 할까요?
우리는 모았습니다 종합 가이드 SQL 인젝션을 식별하고 수정하는 방법을 배우려는 개발자를 위한 것입니다.원하는 프로그래밍 언어 (COBOL도 가능) 로 게임화된 챌린지를 완료하세요.이를 통해 모든 개발자가 더 안전하고 고품질의 코드를 만드는 데 도움이 되는 몇 가지 훌륭한 기초 학습을 얻을 수 있습니다.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
