분류 전체보기 (69)
Life Story (22)
Music Story (12)
My Play (10)
Security (20)
Scrap (3)
Virtualization (1)
ActiveX  웹표준  jimi  Virtualization  악플  블루스  security  기타  인터넷뱅킹  보안  웹 접근성  srv  연주  Recording  인터넷 뱅킹  guitar  schecter SD-II  Schecter  가상화  hijacking  웹접근성  구글어스  전자금융  blues  Jazz  Gartner  전자정부  기타연주  마이클잭슨  hacking 
 오픈웹 v. 금..
└>Open Web
 ActiveX 알고..
 Vista ActiveX..
└>SNAIPER의 조..
 마이클잭슨 내..
└>[Noenemy]'s m..
«   2019/08   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
+ VMblog.com -..
+ virtualizatio..
+ Virtualizatio..
+ VMTN Blog
+ Total : 73,329
+ Today : 0
+ Yesterday : 0




hacking _해당되는 글 2건
2006.12.15   쇼핑몰 결재 대금 해킹 (3)
2006.12.11   RFID Security 


쇼핑몰 결재 대금 해킹
+   [Security]   |  2006.12.15 16:00  
오늘 IT 관련 신문을 보다 보니까, 쇼핑몰 결재 대금을 위조해서 실제 구매 금액의 1%만을 내고 쇼핑몰에서 마음껏 인터넷 쇼핑을 한 인간이 있군요. 어쨌거나 99%의 할인 혜택을 받기를 원하는 것은 누구나의 소망일 것도 같습니다. ^^

문제는 아래 내역이네요.

지난해 7월부터 지난달까지 약 18개월 동안 81개 쇼핑몰 사이트 등에서 111회에 걸쳐 물품을 주문, 개인용도로 사용하거나 유명 인터넷 쇼핑몰에 이를 되파는 방식으로 1200만원 상당의 부당이득을 챙겨 왔던 것으로 밝혀졌다고...
솔직히 이 문제에 대해서는 알고 있었던 부분이고, 과거 컨설팅 과정에서도 동일한 문제점을 확인했던 적이 있지만, 무려 81개 쇼핑몰에서 동일한 방식이 통할 것이라고는 생각지 못했었네요. 최근에는 30만원 이상의 인터넷 쇼핑 물품 구매시에는 공인인증서를 요구하는데, 이것도 좀... ^^

[수정] 실제 동일한 방식의 스크린 샷을 올렸었는데, 좀 아니다 싶어 지웁니다. --+

이 문제 말고도 아주 재미 있는 문제들이 많기는 하지만... 국내 쇼핑몰이 엄청 취약한 것은 틀림없는 사실입니다.

     hacking, security, 게임해킹, 결제대금, 쇼핑몰, 해킹
Coderant 2006.12.28 09:54
적당히 해먹고 튀었다면 걸리지 않을 것을 그 프로그래머가 넘 욕심을 부린것 같습니다. 그바람에 그 사람 인생에 오점이 생겼지만.. 자만심은 역시 불행을 가져다 주는 것 같습니다.
BlogIcon Jerry 2006.12.28 11:35 
역시 공격자 입장에서의 분석을 먼저 하시는군요. 연말에 지식사업부 인원들 송년 모임이라도 한번 마련해 보려 했는데, 이런 저런 일로 걍 12월이 가 버리네요.
BlogIcon futurama sex videos 2008.05.23 05:29
정보를 위한 감사합니다.




RFID Security
+   [Security]   |  2006.12.11 18:23  
The Football World Cup will see for the first time the use of RFID for the ticketing system of a major event. The list of security precautions the government is taking is substantial. It begins with the use of RFID (radio frequency identification) technology. More than 3.5 million tickets for the 64 matches will be sold with an embedded RFID chip containing identification information that will be checked against a database as fans pass through entrance gates at all 12 stadiums. [Source: CSO] We would hope the database has been hardened against attack. From this article we can hypothesise the following: - The RFID will contain a unique ID - This ID will be linked to an database on the backend. - The RFID devices are read only So, the RFID scanner will not directly access the personal data from the RFID devices, which is a good thing, but the weakness of this system is moved to the security of the database backend, and to the application backend. This system makes the forging of a ticket harder, but still not impossible, as a clone of an existing RFID could be done and be checked before an original one. Advance systems will then be able to understand that a device has been checked twice, and could be cross referenced with video footage of the transaction, in order to determine the origin of the forged ticket. RFID also allows the tracing of people within the premises of the stadium, and outside, but any RFID scanner would be able to do this. This technique is actually in use in some commercial complexes to study the behaviour of a client. How could be a such system exploited? As in any database backend application, it could be vulnerable to SQL injection if the input processing routines have not been hardened. It could, in some cases, modify the integrity of the database: adding, modifying, and removing data from the database. This attack needs an understanding of the database schema as with a “blind test”, the RFID won’t recieve any results from the generated query. A recent research paper ( by M.R. Rieback, B. Crispo, A.S. Tanenbaum. “Is Your Cat Infected with a Computer Virus?”), describes the main threats of RFID Tags. A more simple attack will try to attempt an Denial of Service directly on the scanner using buffer overflow techniques. An event as significant as the world cup, with inevitable black market sales and the motivation for fraud will provide an interesting first usage of this technology. We shall be monitoring the event to see if there is any sign of a new, high tech, attack on the competition. Source : http://www.internetdefence.net/2006/06/02/rfid-security/

     hacking, RFID, security



<<이전 | 1 | 다음>>

bluesman's Blog is powered by Daum & Tattertools