웹(Web) 보안 취약점 5가지를 기술하고 그에 대한 각각의 대책을 설명

 

 

 

1. 웹(Web)서비스

2. 웹구조

3. 웹보안

 가. 웹보안 취약점 (OWASP-10 중 상위 5가지)

 나. 웹보안 취약점에 대한 대책

4. 웹보안 기술 동향

 

 

 

 

1. 웹(Web)서비스

- TCP/IP 통신 프로토콜을 이용하는 인터넷 서비스중 가장 대표적인것이 웹 서비스임

- 홈페이지 해킹(웹 해킹)은 불법로그인, 게시판에 악성코드 삽입, 개인정보탈취 등 다양한 공격을 하고 있음

- 국제 웹보안 표준 기구에서는 매년  OWASP-10 (웹취약점 10가지)를 발표함

 

 2. 웹구조

 

- 클라이언트는 웹서버에 홈페이지를 요청해 단순히 화면을 볼 수 있음

- 홈페이지에는 관리자 로그인, 사용자 로그인(사용자 DB관리), 사용자 게시판 파일등록 등등 다양한 기능을 할 수 있음

- 최근에는 웹서비스가 다양화 되어 해킹에 대한 이슈가 많아지고 있음

 

참조>

웹이 보안에 취약한 이유 1>
방화벽에서 조차 막지 못하는 HTTP 80 포트로 통한
악의적인 공격은 그대로 웹 서버에게 전달 된다.

, 허용 또는 오픈 된 포트로의 공격 시도가 문제 입니다

웹이 보안에 취약한 이유 2> 방화벽 , IDS, IPS 와 같은 보안 장비를 이용한 네트워크 계층에서의
보안으로는 어플리케이션 계층에 대한 공격을 차단할 수 없다.

 

http://www.devpia.com/Maeul/Contents/Detail.aspx?BoardID=6127&MAEULNO=769&no=28828&page=6

 

3. 웹보안

 가. 웹보안 취약점 (OWASP-10 중 상위 5가지)

  1) SQL Injection

    - 서버에 특정 SQL문을 입력하여 데이터베이스에 접근, 회원정보 등을 유출할 수 있는 공격

http://smartsmpa.tistory.com/1775

  2) 크로스사이트 스크립트 (XSS, Cross-Site Scripting)

    - 악성스크립트가 삽입된 게시글 클릭을 유도하여 사용자의 정보를 탈취하는 방법

    - 공격대상: 클라이언트 공격 

http://smartsmpa.tistory.com/1775

  3) 취약한 인증과 세션관리

    - 인증과 세션관리와 연관된 어플리케이션 기능이 올바르게 구현되지 않아, 공격자로 하여금 다른 사용자로 가장하여 패스워드, 키, 세션, 토큰 체계를 위태롭게 하거나, 구현된 다른 결함들을 악용할 수 있도록 허용

  4) 크로스사이트 변조요청 (CSRF, Cross Script Request Forgery)

    - XSS와 비슷하지만 악성 스크립트가 삽입된 게시글을 클릭하게 되면 사용자가 의도하지 않은 행위, 즉 글쓰기가 된다던지 혹은 물품구매가 되도록하는 공격 방법

    - 공격대상: 서버

   - 게시판이나 웹 메일 등에 악의적인 스크립트를 삽입하여 비정상적인 페이지가 보이게해 타 사용자의 사용을 방해하거나 쿠키 및 기타 개인정보를 특정 사이트로 전송하는등의 문제

  5) 불안한 암호화 저장

   - 악의적인 공격자가 암호화되지 않은 데이타를 획득하여 명의 도용이나 신용카드 사기 등의

   범죄를 저지를 수 있음

 

 나. 웹보안 취약점에 대한 대책

   1) SQL Injection

     - ID, 패스워드란에 특수문자(따옴표, 공백 등)가 입력되니 않도록 소스코드를 수정

     - 웹 소스코드가 수정 된 후에 다시 한 번 취약점 점검 검증작업을 실시

  2) 크로스사이트 스크립트 (XSS)

     - 스크립트 문장에 존재할 수 있는 < , > , ( , ) , # , & 등의 메타 문자를 다른 문자로

   변환하거나 글 게재 시점에서 스크립트가 있는 경우에는 게재를 차단 

  3) 취약한 인증과 세션관리

    - 강력한 인증 및 세션관리를 통해 단일 체계를 구축함

  4) 크로스사이트 변조요청 (CSRF)

    - 웹 어플리케이션 내에 XSS취약점이 없도록 확인함

  5) 불안한 암호화 저장

    - ID, 패스워드를 암호화 하여 저장함

  6) 기술적, 물리적, 관리적 보호조치 

 기술적 보호조치

물리적 보호조치

관리적 보호조치 

 . 데이타베이스 암호화

 . 소스코드의 시큐어 코딩

 . 관리자 ID/패스워드 주기적 변경 &

   패스워드는 10자리 이상 사용

 . 웹 방화벽

 . 외부접속시 SSL을 통한 접근

 . 네트워크 취약점 최소화 

 . ISMS(Information Security Management System)를 통한 정보보호관리체계 인증

 . PIMS(Personal Information Management System)를 통하 개인정보관리체계 인증

 . 관리자 및 임직원의 주기적인 교육  

  - 웹 보안 솔루션을 각각의 계층에 맞게 정리하면 다음과 같음

 https://www.pentasecurity.com/wp/?page_id=3499&pn=2&sn=3&sn2=3

 

4. 웹보안 기술 동향

  - 정보 보안 기술에 있어 가장 중요한 레이어는 주고 받은 패킷 신호를 데이터 형태로 서로 변환하는 4계층 인’Transport’ 레이어, 그리고 사용자로부터 데이터를 입력 받고 또 출력함으로써 응용 서비스를 수행하는 7계층 ‘Application’ 레이어

  - 방화벽과 IPS는 네트워크 레이어 중 4계층 ‘Transport’ 레이어에 해당하는 장비다

  - 최근 보안 위협은 웹 애플리케이션 영역에 집중해 발생, L7 웹 애플리케이션 보안의 중요도가 높아지고 있음

  - 웹 보안에 있어서 애플리케이션 보안이 가장 큰 비중을 차지하고 있지만, 기본적으로 네트워크와 시스템 보안의 안정성이 바탕이 되어야 웹 보안을 보장할 수 있음


- 끝 -

 

 

 

https://www.pentasecurity.com/wp/?p=4184, 계층별 보안

http://cafe.naver.com/securityplus/5001

https://www.pentasecurity.com/wp/?page_id=183&pn=2&sn=3&sn2=1

 

웹 서비스 취약점 점검방법 및 조치방안.pdf

 

Posted by 둔탱이
,