본문 바로가기

Information Security/Security Information36

CVSSv2 (Common Vulnerability Scoring System Version 2) 1. 개요 취약성에 대해 고유 식별 표기 형식을 CVE 형태로 제공한다. 고유 식별 표기 형식을 제공하는 가장 큰 이유는 취약성에 대한 정보들을 통합할 수 있는 목적, 그리고 관리자, 사용자, 분석가 등 취약성을 정확하게 파악하고 관리하는 목적 때문이다.문제는 발생한 취약성의 위험도를 정량화 하지 않는다면, 너무 사소한 취약성까지 관리하는 불편함을 안을 수 밖에 없다. 그리고 고 위험군에 속하는 취약성의 경우 우선 대응이 이루어져야 하는데, 정량화된 수치가 없다면 이 문제를 해결할 수가 없다. 그래서 새롭게 생겨난 것이 CVSS, 직역하면 공통 취약성 점수화이다.CVSS는 버전 1부터 시작된다. 버전 1은 2005년에 만들어졌다. CVE는 1999년도에 만들어졌으니 6년 뒤에 위험도에 대한 정량화 하기 .. 2015. 5. 19.
CVE (Common Vulnerabilities and Exposures) 1. 개요 CVE를 직역하면 공통 취약성 식별자 의미를 가지는데, 일반적으로는 취약성 네이밍 스키마, 취약성 넘버링 등 불리기도 한다. CVE 형태는 비영리 회사인 MITRE 社에서 1999년 만들고, 데이터베이스화 하여 운영하기 시작했다. 이 운영을 눈 여겨 보던 NIST(미국 국립 표준 기술 연구소)는 NVD(국가 취약성 데이터베이스)를 만들어 협력체계를 구축하기 시작했다. 협력 체계를 구축한 시기가 2002년도인데, 그 주변해의 사건 사고들을 살펴보면 다음과 같다. 2001년도 인터넷 익스플로러 6가 최초로 보안 업데이트를 진행했으며, 2002년도에는 iDefense에서 취약성을 사고 파는 VCP(Vulnerability Contributor Program) 즉, 버그 바운티의 활성화가 시작되었다... 2015. 5. 12.
전사적 정보보호 프레임워크에 관한 개인 위키 http://wikisecurity.net/ 아무리 기술직이라도 놓치고 갈 수 있는 부분들은 관리적 아니 전사적 정보보호 프레임워크를 한 번쯤 읽어보는 것도 좋을 것 같다. 특히 공격이 아닌 방어의 입장에서 전체적인 시나리오를 구성하기에 적합하지 않을까? 2014. 7. 14.
NIST Test Suites 1. 개요NIST Test Suites는 NIST(미국 국립표준기술연구소)에서 만든 취약한 데이터 셋이다. 해당 데이터셋은 CWE 기준으로 분류되어 있으며, Archives 기준으로 가장 최근 버전은 2013년 5월 1.2 버전이다. 이 Archives 를 Juliet Test Suite 로 불리기도 한다. 해당 버전에는 2 가지 형태로 나눠지는데, C/C++ 버전과 Java 버전으로 나뉘어진다.이 데이터 셋을 다운로드 받아서 압축을 해제해보면 파이썬으로 관리하는 것을 볼 수 있다. 기회가 되는대로 직접 파이썬을 실행하여 동작을 확인해 보려 한다.로우한 데이터셋은 testcases 폴더안에 있으며, 각각의 디렉터리에는 다시 세부적으로 폴더로 구분되어 있다. 세부적인 폴더는 단순한 구분을 위해 사용되며, .. 2014. 7. 14.