Kant's Times

New "DoubleClickjacking" Exploit Bypasses Clickjacking Protections on Major Websites 더블클릭재킹 개요더블클릭재킹은 시간 기반 취약점으로, 주요 웹사이트에서 더블 클릭 시퀀스를 악용하는 새로운 유형의 공격기존 클릭재킹보다 발전된 방식으로, X-Frame-Options, SameSite 쿠키, 콘텐츠 보안 정책(CSP) 같은 방어 기술을 우회계정 탈취 또는 민감한 작업 실행을 최소한의 사용자 상호작용으로 가능하게 함공격 메커니즘공격의 단계사용자가 공격자가 제어하는 웹사이트에 접속, 새 브라우저 창 또는 탭이 자동으로 열림새 창은 CAPTCHA 확인처럼 무해한 UI를 가장하고, 사용자가 더블 클릭하도록 유도더블 클릭 도중 JavaScript ..

글로벌 칼럼 | 오픈소스는 AI를 구할 수 없다 글로벌 칼럼 | 오픈소스는 AI를 구할 수 없다“AI가 몇몇 업체에 집중되는 것은 바람직하지 않다.” 허깅페이스의 CEO 클렘 델랑그는 오픈소스가 AI의 구세주가 될 것이라며 이렇게 말했다.www.itworld.co.kr 핵심 주장오픈소스는 AI 시장의 구세주가 될 수 없다는 주장AI의 시장 집중화 문제는 오픈소스로 해결되지 않을 것오픈소스가 소프트웨어 개발에 필수적이긴 하지만, 궁극적인 승자는 소수의 대형 업체에 불과클라우드와 오픈소스의 사례클라우드 인프라는 오픈소스 없이 불가능했지만, AWS와 같은 소수의 대형 업체가 시장을 지배클라우드 시장에서 오픈소스는 통제권을 분산시키기보다는 오히려 집중화를 초래기업은 오픈소스를 자유롭게 사용할 수 있지만, 그 복..

[클라우드 내비게이터] 클라우드 보안 오답노트 - 데이터넷클라우드 환경의 보안 취약점온프레미스 환경에서 이전된 취약한 설정이 클라우드 환경으로 그대로 이전될 수 있음아파치 톰캣 서비스에서 관리자 페이지가 외부에 노출된 상태로, 관리자 계정의 비밀번호 설정이 취약하여 웹 셸 업로드가 발생클라우드 서비스 제공자(CSP)의 IP 대역이 공격자들에게 알려져 있어 클라우드에서의 공격 노출도가 높아짐톰캣 서비스의 취약한 관리관리자 페이지 접근 제어 미설정톰캣 관리자 페이지에 대한 접근 제한 정책이 없었음외부 IP에서 접근 가능한 상태였으며, 이를 통해 공격자가 관리자 권한을 획득취약한 관리자 계정 정보기본 관리자 계정이 비활성화되어 있었으나, 잘 알려진 계정명(admin)과 취약한 패스워드를 사용한 manager-..

금융권 빗장 푼다…SAP 코리아, 금융보안원 CSP 안전성 평가 완료 금융권 빗장 푼다…SAP 코리아, 금융보안원 CSP 안전성 평가 완료[ⓒ SAP]...www.ddaily.co.kr 주요 내용SAP 코리아가 금융보안원이 실시한 클라우드 서비스 제공업체(CSP) 안전성 대표 평가를 완료금융회사는 클라우드 컴퓨팅 서비스를 이용할 때 금융보안원의 안전성 평가 결과를 활용할 수 있음이번 평가 대상은 SAP S/4HANA 클라우드 프라이빗 에디션, 기업 맞춤형 ERP 소프트웨어 제공평가 완료 및 향후 계획SAP 코리아는 11월 내 최종 확인 평가를 완료할 예정금융사는 SAP S/4HANA 클라우드 프라이빗 에디션 도입 시 평가 결과를 통해 신속한 클라우드 전환 가능SAP 코리아 대표 발언신은영 SAP 코리아 ..