IT for researcher (27) 썸네일형 리스트형 Top Threats to Cloud Computing, Version 1.0 개인적으로 공부하기 위해서 번역/정리하는것이라 발번역입니다. 부가설명을 위한 것들은 다 삭제함 원본은 여기 클릭! Threat #1 : 클라우드 컴퓨팅의 남용과 불법적인 사용. 설명 IaaS는 고객에게 무한의 계산능력, 네트워크, 저장공간이 있는것처럼 보이도록 서비스한다. 몇몇 제공자들은 제한적으로나마 무료로 트라이얼 기간동안 사용할 수 있도록 해준다. 등록, 사용모델 뒤에 상대적 익명을 남용하여 스팸머, 악성 코드 작성자 그리고 다른 범법자들은 상대적 면책을 가지고 그들의 행동을 수행해오고 있다. PaaS 제공자들은 전통적으로 이러한 공격에 의해 고통받아 왔다. 그러나 최근들어 해커들은 그러한 공격을 IaaS 밴더를 대상으로 시도하고 있다. 미래의 관심사는 다음과 같은 것을 포함하고 있다. 패스워드와 .. Defense and Detection Strategies against Internet worms 5장 Construction of a Worm 인텔 i386 플랫폼, 리눅스 아파치 서버에 감염시키는 Slapper 웜을 분석하여 웜의 생성구조를 살펴본다. 5.1 Target Selection 웜을 디자인할 때 첫 번째 해야할 일은 공격하고 이용할 대상을 결정하는 일이다. 두가지를 고려해야 한다. 첫째, 웜이 사용할 플랫폼 선택해야한다. 둘째, 웜이 원격의 시스템을 어떻게 공격할 지 선택해야한다. 5.1.1 Target platform 공격을 시도하는 영역이 인터넷이라면 윈도우 시스템에 대한 공격은 많은 호스트에 영향을 줄 수 있을 것이다. 이는 인터넷을 사용하는 대부분의 클라이언트는 윈도우 환경이기 때문이다. 이와 반대로 유닉스 서버는 네임서버 파일서버와 같이 인터넷 백본을 구성하는 요소로 많이 사용되고 .. Defending against injection attacks through context-sensitive string evaluation Safe ad-hoc serialization Serialization API (Prepared Statment 같은 것들) 쓰는 방식으로 SQL Injection을 해결할 때 장/단점 장점 1. 개발자가 해당 API를 사용해서 개발만 하면 자동으로 해결됨~~ 단점. 1. tool이 제한적이다. 지원하지 않는 부분들도 있다 XPATH 등등. 2. 개발자에 의존적이다. 3. 해당 API를 사용하지 않고 개발한 기존 시스템들이 존재한다. 메타데이터를 추적해서 소스고침없이 safe adhoc serialization을 수행. 메타데이터 - orgin 데이터에 대한 정보 (user 제공, 개발자 제공) 펄에서 variable taint 와 유사하다. (그러나 좀더 많은 정보를 가지고 있어야한다.) 사용자로부터 .. Automatic Creation of SQL Injection and Cross-Site Scripting Attacks Abstract 우리는 SQL 인젝션과 크로스 사이트 스크립트에 취약점을 찾는 기술에 대해 쓴다. 가장 심각한 공격에서 공격자는 사용자가 악성 코드를 실행하기 위하여 데이터베이스를 망가트릴 수 있다. 이논문에서 SQLI와 XSS 취약점을 드러내는 입력을 생성하기 위한 자동화된 기술을 보인다. 이 기술은 샘플 입력, track saints, 익스플로잇을 생성한다. 이차 XSS 공격을 알 수 있는 첫 분석이다. Introduction 공격의 두가지 종류 SQL 인젝션, 크로스사이트 스크립팅 SQLI와 XSS 취약점을 식별하고 이를 막기 위한 이전 방식들은 방어 코드, 정적 분석, 동적 모니터링, 테스트 생성등을 포함한다. 이러한 접근 방법들은 각각 장점 및 개선 사항들을 가지고 있다. Defensive co.. Toward Formal Verification of Role-Based Access Control Policies 접근 제어는 요즘 가장 기본적이고 범용적인 보안 매커니즘이다. 접근 제어 정책의 명세와 관리에 문제점들을 가지고 있으며 관리자들을 돕는 툴들은 거의 없다. 정책을 잘못 설정하여 보안에 많은 허점이 발생되고 있다. 관리자들은 종종 정책 설정을 변경하기를 꺼려한다. 설정 변경의 결과가 제대로 되어 있는지 확신을 가질 수 없기 때문에.. 대부분의 접근제어 시스템에서 권한 을 변화시킬 필요가 있다. 예를 들어 , 사용자들과 객체들은 제거되고 추가되어 진다. 사용자들은 리소스 공유를 잠시 시작하고 다시 잠시 후 멈추고 사용자들의 업무 기능들이 변화한다. 이러한 동적인 특성은 접근 제어의 해결해야할 점이다. 접근제어의 동적인 면을 다루는데 기본적인 문제는 안정성 분석이다. (Harrison) 안정성 분석은 미래에 .. A survey on resource discovery mechanisms, peer-to-peer and service discovery frameworks 3. Packet Propagation SD 프로토콜에 대한 패킷 전파 기술의 조심스런 선택은 매우 중요하다. 그 선택은 네트워크 토폴로지, 통신 매체 또는 크기와 같은 많은 파라미터에 의존할 수 있다. 예를 들어, 멀티 캐스팅은 고정된 네트워크로 구성된 지역 시스템인 경우 좋다. 그러나 무선 환경에서는 무선 매체에 대한 브로드캐스트 특성을 이용하기 원할 것이다. 큰 범위의 시스템에 대해서는 유니캐스트가 좋은 선택이다. 우리는 아래에서 대부분 네트워크에서 사용되고 있는 특히 IP 기반 4가지 주요 패킷 전파 방법에 대하여 살펴본다. 3,1,1 Unicat 하나의 전송자와 하나의 수신자와 관련된 프로토콜은 유니캐스트로 간주된다. 유니캐스팅은 다른 노드들이 제공하는 서비스들에 대한 정보를 소유하고 있는 노드.. Efficient profile aggregation and policy evaluation in a middleware for adaptive mobile applications 현재 미들웨어의 문제점. 1. 상황을 표현하는 것과 이를 완전히 reason하는데의 trade off 발생. 센서 데이터 로부터 새로운 컨텍스트 데이터를 자동으로 생성하는 것이 바람직하다.. 하지만 real time이 필요하다.. 2. 상황 데이터의 분산 특성. 다양한 엔티티들 부분 적이고 충돌하는 데이터를 제공한다. 다양한 엔티티가 상황을 동적으로 모델하기 위한 정책들을 제공한다. global 과 local 정책의 충돌을 해결 해야만 한다. (OSGi v4) User Admin Service Specification 1.1 Authorization 부분만 정리. 번들들은 액션을 요청한 사용자를 인증하고 Authorization 객체로써 이러한 인증을 표현하기 위하여 User Admin service를 사용할 수 있다. 사용자 대신 액션을 수행하는 번들들은 사용자가 권한이 부여되었는지 확인하기 위하여 Authorization 객체를 사용할 수 있다. the Java code-based permission model 대신 코드를 수행하는 사용자를 기준으로 인증이 이루어진다. 이는 Java Authentication and Authorization Service와 유사하다. 엔티티들. UserAdmin - 명명된 Role의 데이터베이스를 관리하는 인터페이스 Role - 모든 role들에 의해 공유되는 특성들이 드러내는 인터페이스.. 이전 1 2 3 4 다음
