http://toolbox.krcert.or.kr/web_01/main.html
아주 잘 만든 웹해킹 교육용 프로그램
http://code.google.com/p/webgoat/
http://yehg.net/lab/pr0js/training/webgoat.php
WebGoat is a deliberately insecure J2EE web application designed to teach web application security lessons. In each lesson, users must demonstrate their understanding of a security issue by exploiting a real vulnerability in the WebGoat application. For example, in one of the lessons the user must use SQL injection to steal fake credit card numbers. The application is a realistic teaching environment, providing users with hints and code to further explain the lesson.
Why the name ‘WebGoat‘? Developers should not feel bad about not knowing security. Even the best programmers make security errors. What they need is a scapegoat, right? Just blame it on the ‘Goat!
Web application security is difficult to learn and practice. Not many people have full blown web applications like online book stores or online banks that can be used to scan for vulnerabilities. In addition, security professionals frequently need to test tools against a platform known to be vulnerable to ensure that they perform as advertised. All of this needs to happen in a safe and legal environment. Even if your intentions are good, we believe you should never attempt to find vulnerabilities without permission.
The primary goal of the WebGoat project is simple: create a de-facto interactive teaching environment for web application security. In the future, the project team hopes to extend WebGoat into becoming a security benchmarking platform and a Java-based Web site Honeypot.
태블릿PC와 스마트TV 등의 스마트기기에서도 웹브라우저를 이용한 인터넷 뱅킹 및 쇼핑 등의 전자거래가 가능하게 됐다.
대전 대덕연구개발특구 내 한국전자통신연구원(ETRI)은 ㈜케이사인과의 공동연구를 통해 스마트기기의 웹브라우저에서 인증, 전자서명 및 지불을 가능하게 해주는 ‘스마트 채널(Smart Channel)기술‘을 개발했다고 9일 밝혔다.
현재 스마트기기의 웹브라우저에서는 인터넷 뱅킹 및 쇼핑을 할 수 없는데, 인증·암호화와 공인인증서 등 보안 모듈이 주로 액티브엑스 등 브라우저 플러그인 방식으로 구현돼 있는 반면, 스마트기기의 웹브라우저에서는 이를 지원하지 않기 때문이다.
하지만 이번에 개발된 기술은 스마트TV 등 스마트기기에 보안모듈과 공인인증서를 설치하는 대신 인증, 지불, 전자서명 요청을 스마트폰으로 전송해 스마트폰에 설치된 ‘스마트 지갑’ 앱을 통해 수행하도록 한다.
따라서 기기나 브라우저의 종류와 상관없이 인터넷 뱅킹이나 쇼핑이 가능하고, 플러그인 없이 브라우저와 웹서버 간의 암호화 기능도 제공함으로써 보안성을 높였다.
ETRI 인증기술연구팀 진승헌 팀장은 “이번 기술 개발로 이용자들이 신용카드 정보나 공인인증서를 스마트폰에만 저장하면, 신용카드 정보나 공인인증서를 스마트기기로 전송하거나 갱신해야 하는 불편을 겪지 않아도 된다”며 “인터넷 뱅킹 및 쇼핑 등 서비스 제공자 입장에서도 각기 다른 스마트기기 플랫폼과 브라우저를 위한 보안모듈을 모두 개발할 필요가 없어지게 됐다”고 설명했다.
ETRI 사이버융합보안연구단 조현숙 단장은 “스마트폰 전자서명을 위한 스마트사인 기술과 차세대 모바일 카드 기술에 이어 개발된 이번 기술은 이용자 편의성 제고와 서비스 개발 비용 절감이라는 측면에서 큰 의의가 있다”며 “앞으로도 모바일 융합 보안 핵심 기술 개발을 통해 모바일 컨버전스 산업 경쟁력 제고에 이바지하겠다”고 말했다.
㈜케이사인의 최승락 사장은 “ETRI와 공동연구를 통해 이번에 개발한 기술이 스마트폰 사용자에게 보다 많은 혜택을 줄 수 있게 됐고, 앞으로도 스마트폰 산업시장에 큰 기여를 하도록 노력하겠다”고 밝혔다.
http://decisive.egloos.com/5694765