$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

멀티테넌시 기반 웹 사이트의 OWASP TOP 10 보안취약성 검증 방법
Verification Methods of OWASP TOP 10 Security Vulnerability under Multi-Tenancy Web Site's Environments 원문보기

융합보안논문지 = Convergence security journal, v.16 no.4, 2016년, pp.43 - 51  

이도현 ((주)신성씨엔티) ,  이종욱 (한국폴리텍대학교) ,  김점구 (남서울대학교)

초록
AI-Helper 아이콘AI-Helper

요즘 웹 애플리케이션보안 취약점을 이용한 해킹과 수 많은 사이트에서 개인정보의 노출로 인한 웹 사이트의 보안 문제가 날로 증가하고 있다. 그리고 이로 인한 피해가 날로 높아지고 있어 그에 대한 대책으로 안전한 웹 사이트 제작방법이 절실히 요구되고 있는 상황이다. 이에 본 논문은 웹 사이트의 제작 시에 오픈소스 웹 애플리케이션 보안 프로젝트를 고려한 OWASP TOP 10 취약점 확인방법을 제안하였고, 제안 방법을 적용하여 보안취약점을 검증하는 방법 및 취약점 개선 후 성능에 대해 분석하였다.

Abstract AI-Helper 아이콘AI-Helper

Nowadays hacked using a security vulnerability in a web application, and the number of security issues on the web site at many sites due to the exposure of personal information is increasing day by day. In this paper, considering the open-source Web Application Security Project at the time of produc...

주제어

#OWSP   #Multi-Tenancy   #Website   #Vulnerability   #Security  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 본 논문에서는 OWASP에서 소개한 것 중에서 2013년에 발표된 OWASP TOP 10 2013을 기준으로 소개한다.
  • 보안취약점 검증방법으로는 모의해킹 및 소스코드 분석은 해커 수동점검 및 분석도구를 사용해서 분석 및 점검을 하고, 애플리케이션 분석은 검사목록을 작성하여 해당 목록을 점검하는 것이다. 본 논문에서는 보안 취약점 점검도구와 웹 애플리케이션에 대한 취약점 점검 목록을 소개한다. 보안 취약점 검검도구는 <표 1>과 같이 OWASP TOP 10대 웹 애플리케이션 보안 위험의 8개에 해당하는 보안 취약점을 검사는 도구이다[17].
  • 본 논문에서는 홈페이지 제작에서부터 발생할 수 있는 이러한 웹 애플리케이션 보안취약점과 보안취약점에 대한 개선방법에 대해서 연구하고 보안 취약점 개선 후에 보안 취약점에 대한 검증하는 방법 및 취약점 개선 후의 성능에 대해서 분석을 하고자 한다.
  • 본 논문은 개인정보의 노출과 해킹으로부터 안전한 사이트를 만드는 방법에 대해 연구하였고, 문헌자료와 각종 보안대책 자료를 이용하여 안전한 웹 사이트 제작방법을 제시하였다.
  • 프록시를 이용해서 애플리케이션이 특별한 역할이 있는지 확인하고, 그 다음 권한이 낮은 제한된 페이지에 다시 방문해 보아라. 이때 서버 응답이 똑같다면 취약점이 존재할 가능성이 크다.
  • 홈페이지 보안 취약점 및 개선방법에서는 OWASP (The Open Web Application Security Project)에서 설명하는 보안 취약점 및 그에 대한 개선방법을 다루고자 한다.

가설 설정

  • - 민감한 정보들이 사용 중인 저장 공간이나 백업 공간에 저장될 때 암호화되지 않은 긴 문자로 저장되지는 않는가?
  • - 사용자 인증 정보가 저장될 때 해시 또는 암호화를 사용하여 보호되지 않는다. A6 참고.
  • - 세션 ID가 세션 고정 공격에 취약하다.
  • - 세션 ID가 타임아웃 되지 않거나, 사용자 세션 또는 인증 토큰, 특히 싱글 사인온(SSO) 토큰이 로그아웃 된 동안 적절히 무효화 되지 않는다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
멀티테넌시란? 멀티테넌시(Multi-Tenancy)는 단일 인스턴스가 다수의 사용자와 다수의 그룹에게 서비스를 제공하기 위한 소프트웨어 아키텍쳐이다[11].
민감 데이터 노출의 확인 방법으로 어떠한 내용을 확인해야하는가? - 민감한 정보들이 사용 중인 저장 공간이나 백업 공간에 저장될 때 암호화되지 않은 긴 문자로 저장되지는 않는가? - 이러한 정보들이 내부나 외부에 암호화되지 않고 전송되는가? 인터넷 트래픽은 특히 위험하다. - 오래되었거나 취약한 암호 알고리즘을 사용하지는 않는가? - 취약한 암호키가 생성되었거나 적절한 키 관리는 이루어지는가? 또는 순환이 누락되지는 않는가? - 브라우저 보안지침이나 헤더가 민감한 데이터가 제공되었거나 브라우저에 보내졌을 때 놓치지는 않는가?
테넌시 관리자의 역할은? 이러한 가상 파티션은 해당 서비스 애플리케이션의 사용자에게는 실제의 데이터와 동일하게 제공되기 때문에 애플리케이션 차원에서는 가상 데이터와 실제 데이터와의 차이는 전혀 없이 사용할 수 있다. 테넌시 관리자(tenancy manager)는 이러한 서비스 애플리케이션에서 데이터에 대한 요청이 있을 때 해당 요청의 적법성을 확인하여 허용된 데이터에 액세스 할 수 있도록 관리하는 역할을 한다. (그림 2)는 멀티테넌시의 일반적인 구조를 보여준다.
질의응답 정보가 도움이 되었나요?

참고문헌 (19)

  1. Gartner, Now is the time for security at Applic ation Level, 2006.12 

  2. 행정안전부, 소프트웨어 개발 보안 가이드, 2011.06 

  3. http://ko.wikipedia.org/wiki/보안 

  4. 박상노, 클라우드 컴퓨팅 서비스의 보안 전략 방안에 관한 연구, 배재대학교 대학원, 2013.06 

  5. http://ko.wikipedia.org/wiki/클라우드_컴퓨팅 

  6. Jasti, Amarnath, et al. "Security in multitenancy cloud.", 2010 

  7. SaaS 플랫폼 기술 및 개발 동향, ETRI, 전자통신동향분석 제26권 제5호, 2011.10 

    원문보기 상세보기

  8. SaaS 기술개발동향, ETRI, 전자통신동향분석 제24권 제4호 2009.08 

    원문보기 상세보기

  9. 차영태, 클라우드 컴퓨팅 보안 기술동향과 산업전망 JULY 2012 VOL 12-6, KEIT, 2012.07 

  10. 류미현, 클라우드 컴퓨팅에서 샌드박스 기반의 멀티테넌시 데이터 보안, 동국대학교 국제정보대학원, 2014 

  11. 차영태, 클라우드 컴퓨팅 보안 기술동향과 산업전망, 한국산업기술평가관리원 PD ISSUE REP ORT July 2012 vol. 12-6. 

  12. http://en.wikipedia.org/wiki/Multitenancy 

  13. http://ko.wikipedia.org/wiki/OWASP 

  14. http://www.owasp.or.kr, OWASP Top 10 2013 Final Korean, 2013 

  15. 행정안전부, 홈페이지 개인정보 노출방지 가이드라인, 2012.07 

  16. 행정안전부, 공공기관 홈페이지 개인정보 노출방지 가이드라인, 2011 

  17. KISA, 국내 클라우드 서비스 보안 취약점 점검 

  18. http://resources.infosecinstitute.com/owasp-top-10-tools-and-tactics/ 

  19. KISA, 웹서버구축보안점검 안내서, 2010.01 

저자의 다른 논문 :

관련 콘텐츠

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로