Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
Tags
- 소프트웨어보안
- 웹해킹
- System
- 모의해킹
- bee-box
- 네트워크보안
- network
- 비박스
- Webhaking
- ftz
- WarGame
- 리버싱
- dreamhack
- 시스템
- 네트워크
- CodeEngn
- XSS
- 시스템해킹
- hacking
- reversing
- webhacking
- 해킹
- 소프트웨어
- TCP
- 워게임
- 웹
- 순서도
- 알고리즘
- 드림핵
- Web
Archives
- Today
- Total
Without a Break
CVE 본문
취약점의 발견과 보고
Zero Day Initiative
https://www.zerodayinitiative.com/
Home | Zero Day Initiative
www.zerodayinitiative.com
- TippingPoint에 의해 시작된 취약점 발견/공유 사이트
- 대기업 SW의 취약점을 발견, 공유함
- 취약점 발견자에게 금전적으로 보상 : 취약점을 발견 보고하여 경제적 이익을 얻을 수 잇음
CVE (Common Vulnerabilities and Exposures)
- CERT에 의해 1999년에 시작
- 취약점의 표준화된 식별을 목표 (Vendor 중심 자체 식별자 지정, 상호 의사소통의 어려움 해결)
- 각 Vendor 및 공급자들이 자신의 advisory 발표 가능 (단, CVE를 통해 상호참조하고 사용자들은 CVE ID를 활용하여 취약점 추적)
- MITRE가 현재 관리하며 지속적으로 취약점 관리
- ITU-T에 의해 취약점 DB 표준을 추천
Vulnerabilities vs exposures
| 취약점 (Vulnerabilities) |
해커에 의해 이용될 수 있는 실수로 시스템의 보안정책을 깨뜨리는 상황의 빌미가 되는 것 - 다른 사용자의 권한으로 명령 실행 - 접근 통제 정책 위배 - DoS 공격 대상 |
| 유출 (Exposures) |
시스템의 설정 문제나 소프트웨어상의 실수 - 중요한 공격을 수행하는데 활용 가능한 정보를 드러내는 상황 |
CVE Identifiers
- CVE ID(number) : CVE-2020-0340
- 취약점/유출에 대한 간략한 설명
- 참고자료 및 보고서, advisories
- 잠재적 취약점 및 유출에 대한 발견
- CVE 번호 부여를 위한 권한 요청 (번호를 블록단위로 예약)
- CVE 번호를 공개그룹과 공유
- Advisory 공개 (CVE ID를 포함)
- MITRE는 추가된 CVE-ID를 master 리스트에 보관
- 상호 운영성 또는 상호비교가능성의 표준
- 제품/서비스 모두에 적용
- MITRE의 인증제품생산 시 필수
- Tool 혹은 웹사이트의 요구 속성 => CVE ID를 통해 검색이 가능하고 표준 문서 포맷을 지켜야 함
'Software > 소프트웨어보안' 카테고리의 다른 글
| 컴퓨터의 구조 및 소프트웨어 실행 원리, C언어와 어셈블리어, Stack (0) | 2022.10.21 |
|---|---|
| 소프트웨어의 정적 분석과 동적 분석 (0) | 2022.10.09 |
| sscanf, Argc/Argv Programming (0) | 2022.10.03 |
| DevOps와 Security Advisory (0) | 2022.10.01 |
| SW보안의 5요소 (0) | 2022.09.26 |
'Software/소프트웨어보안' Related Articles
more
