SSL(Secure Sockets Layer)은 1999년 TLS(Transport Layer Security)이전의 인터넷 통신을 통한 보안을 제공하기 위해 가장 널리 배포 된 암호화 프로토콜이었습니다.SSL 프로토콜의 사용이 중단되고 대신 TLS가 채택되었지만 사람들은 여전히 이 유형의 기술을 'SSL'이라고합니다.
유서트에서 판매되는AATL(Adobe Approved Trust List) 인증서는 전 세계 수 백만 명의 사람들이 세계에서 가장 신뢰할 수있는 디지털 ID를 사용하여 문서에 디지털 서명을 할 수 있게 해주는 인증서이며,Secure Email(S/MIME) 사용자가 전자 메일에 디지털 서명하고 암호화 할 수 있도록 하는 인증서 입니다.
[보안뉴스 길민권] 국내 쇼핑몰 20~30%가 사용하고 있는 쇼핑몰 솔루션 ‘위즈몰’ 최신버전에 대한 제로데이(0-day) 취약점이 발표돼 쇼핑몰을 이용하는 사용자들의 개인정보가 위험한 상황이다. 이에 대한 신속한 대처가 필요하다.
국제정보보안센터(이하 i2Sec. 부산)은 16일 국내 무료 쇼핑몰 ‘위즈몰’ 최신 버전에 대한 취약점(0-day Exploit)을 발표했다. 위즈몰은 국내 무료 쇼핑몰로 여러 방면에서 널리 보급되어 사용 중 인 홈페이지다.
위즈몰에서 발견된 대표적인 취약점으로는 XSS, CSRF, 안전하지 않은 직접객체 참조, 보안상 잘못된 구성 등 4가지로 드러났다. 구체적인 취약 현황은 아래와 같다.
◇XSS 취약점 = XSS(Cross Site Scripting)는 동적 생성 웹 페이지에 악의적인 스크립트를 넣어, 사용자가 해당 페이지를 열람했을 경우 삽입한 스크립트를 실행하도록 함으로써 사용자의 정보를 탈취하는 웹 해킹 기법이다.
◇CSRF 취약점 = CSRF(Cross Site Response Forgery)는 크로스-사이트 스크립팅(XSS)과 유사한 점이 있지만, XSS의 경우에는 악성 스크립트를 웹사이트에 삽입할 필요가 있는 반면, CSRF 공격의 경우 사이트가 신뢰하는 사용자를 통해 공격자가 원하는 명령을 사이트로 전송하도록 하는 기법이다.
◇안전하지 않은 직접객체 참조 취약점 = 어플리케이션은 웹페이지를 생성할 때 종종 실제 이름이나 키값을 사용한다. 어플리케이션은 사용자가 대상객체에 대한 권한을 갖고 있는지 항상 검증하지 않는다. 이를 이용하여 타사용자 정보를 조회할 수 있다.
◇보안상 잘못된 구성에 대한 취약점 = 허가되지 않은 접근이나, 시스템 정보 획득을 위해 공격자는 디폴트 계정, 사용되지 않는 페이지, 패치 되지 않은 결함과 보호되지 않은 파일과 디렉토리 등을 통해 접근한다.