오늘날 우리는 웹 사이트의 홍수 속에 살고 있으며, 다양한 정보를 얻기 위해서 인터넷을 통해 수많은 웹 사이트에 접속을 하고 있다. 하지만 웹 사이트의 보안성이 담보되지 않는다면, 여러 악의적인 공격들로부터 웹 사이트의 안전성을 확보할 수가 없다. 특히 금전적인 목적, 정치적인 목적 등 다양한 이유로 웹 사이트의 보안 취약점을 악용한 해킹 공격이 증가하고 있다. SQL-Injection, 크로스사이트스크립트(XSS), Drive-By-Download 등 다양한 공격기법들이 사용되고 있으며, 그 기술 또한 갈수록 발전하고 있다. 이와 같은 다양한 해킹 공격들을 방어하기 위해서는 웹 사이트의 개발단계부터 취약점을 제거하여 개발하여야 하지만, 시간 및 비용 등 여러 문제들로 인해 그러지 못하는 것이 현실이다. 이를 보완하기 위해 웹 취약점 점검을 통해 웹 사이트의 취약점을 파악하고 조치하는 것이 중요하다. 이에 본 논문에서는 웹 취약점 및 진단기법에 대해 알아보고 실제 웹 취약점 진단 사례를 통해 각 사례별 조치현황에 따른 개발단계에서의 취약점별 조치 우선 순위에 대해 알아보고자 한다.
오늘날 우리는 웹 사이트의 홍수 속에 살고 있으며, 다양한 정보를 얻기 위해서 인터넷을 통해 수많은 웹 사이트에 접속을 하고 있다. 하지만 웹 사이트의 보안성이 담보되지 않는다면, 여러 악의적인 공격들로부터 웹 사이트의 안전성을 확보할 수가 없다. 특히 금전적인 목적, 정치적인 목적 등 다양한 이유로 웹 사이트의 보안 취약점을 악용한 해킹 공격이 증가하고 있다. SQL-Injection, 크로스사이트스크립트(XSS), Drive-By-Download 등 다양한 공격기법들이 사용되고 있으며, 그 기술 또한 갈수록 발전하고 있다. 이와 같은 다양한 해킹 공격들을 방어하기 위해서는 웹 사이트의 개발단계부터 취약점을 제거하여 개발하여야 하지만, 시간 및 비용 등 여러 문제들로 인해 그러지 못하는 것이 현실이다. 이를 보완하기 위해 웹 취약점 점검을 통해 웹 사이트의 취약점을 파악하고 조치하는 것이 중요하다. 이에 본 논문에서는 웹 취약점 및 진단기법에 대해 알아보고 실제 웹 취약점 진단 사례를 통해 각 사례별 조치현황에 따른 개발단계에서의 취약점별 조치 우선 순위에 대해 알아보고자 한다.
Today we live in a flood of web sites and access numerous websites through the Internet to obtain various information. However, unless the security of the Web site is secured, Web site security can not be secured from various malicious attacks. Hacking attacks, which exploit Web site security vulner...
Today we live in a flood of web sites and access numerous websites through the Internet to obtain various information. However, unless the security of the Web site is secured, Web site security can not be secured from various malicious attacks. Hacking attacks, which exploit Web site security vulnerabilities for various reasons, such as financial and political purposes, are increasing. Various attack techniques such as SQL-injection, Cross-Site Scripting(XSS), and Drive-By-Download are being used, and the technology is also evolving. In order to defend against these various hacking attacks, it is necessary to remove the vulnerabilities from the development stage of the website, but it is not possible due to various problems such as time and cost. In order to compensate for this, it is important to identify vulnerabilities in Web sites through web vulnerability checking and take action. In this paper, we investigate web vulnerabilities and diagnostic techniques and try to understand the priorities of vulnerabilities in the development stage according to the actual status of each case through cases of actual web vulnerability diagnosis.
Today we live in a flood of web sites and access numerous websites through the Internet to obtain various information. However, unless the security of the Web site is secured, Web site security can not be secured from various malicious attacks. Hacking attacks, which exploit Web site security vulnerabilities for various reasons, such as financial and political purposes, are increasing. Various attack techniques such as SQL-injection, Cross-Site Scripting(XSS), and Drive-By-Download are being used, and the technology is also evolving. In order to defend against these various hacking attacks, it is necessary to remove the vulnerabilities from the development stage of the website, but it is not possible due to various problems such as time and cost. In order to compensate for this, it is important to identify vulnerabilities in Web sites through web vulnerability checking and take action. In this paper, we investigate web vulnerabilities and diagnostic techniques and try to understand the priorities of vulnerabilities in the development stage according to the actual status of each case through cases of actual web vulnerability diagnosis.
본 논문에서는 주요 웹 취약점 유형, 주요 취약점에 대한 진단 기준 및 조치 방법 등에 대해 알아보고,이를 바탕으로 실제 웹 취약점 점검 사례를 통해 개발 단계에서 취약점별 조치 우선 순위를 산정하고자 한다.
제안 방법
시큐어코딩, 보안 패치 등을 통해 선제적으로 외부 공격에 대응할 수 있음에도 불구하고 시간 및 비용 등의 이유로 보안 약점을 고려하지 않고 개발을 하는 경우가 많은 것 또한 사실이다. 본 논문에서는 100개의 홈페이지를 대상으로 주요 취약점 항목에 대해 취약점 점검을 수행하였고, 이에 대한 결과로 항목별 취약점 탐지 비율을 살펴보았다. 또한 항목별 미조치 비율을 산정하여 개발 단계에서 우선적으로 고려해야할 보안 취약점 순위를 산정하였다.
하지만 다양한 취약점을 모두 파악하고 점검하는 것은 현실적으로 불가능하기 때문에 점검 기준을 마련하는 것이 중요하다. 점검 기준에 대해 알아보기 전에 먼저 보안약점과 보안취약점에 대해 간단히 알아보고, OWASP Top 10, CWE/SANS TOP 25, 국가정보원 8대 취약점 등 주요 보안약점 유형에 대해 알아보고자 한다.
대상 데이터
본 논문에서는 OWASP Top 10, CWE/SANS Top 25, 국가정보원 8대 취약점, 행정안전부 47개 기준 등 주요 취약점 점검 기준 등을 참조하여 20개 항목을 선정하여 100개 홈페이지에 대해 취약점 점검을 수행하였다. 취약점 점검 항목은 <표 4>와 같다.
성능/효과
백업 및 예제 파일 노출 취약점이 22.20%로 가장 많이 발견되었으며, 악의적인 스크립트 실행 20.87%, 에러메시지를 통한 정보노출 14.15%, URL/파라미터 변조 10.29%, 계정정보 및 개인정보 등 민감 데이터 평문 전송 6.51%순으로 많이 발견되었으며, 취약한 세션 관리, 쿠키/세션 값 변조를 통한 인증/권한 우회, 취약한 패스워드 복구, 대체경로를 통한 인증 우회, 취약한 패스워드 사용, 불필요한 서비스 등은 0.5% 이하로 상대적으로 적게 발견되었다.
취약점 조치 결과 쿠키/세션 값 변조를 통한 인증/권한 우회, 디렉터리 인덱싱, 취약한 세션 관리 취약점은 미조치율이 0%로 조치 기한 내 모든 취약점이 조치되어 상대적으로 취약점 조치가 수월한 것으로 나타났으며, 취약한 패스워드 복구, 대체 경로를 통한 인증 우회, 하드코딩된 암호화 키 사용 등의 취약점 항목은 30%가 넘는 미조치율을 보여 상대적으로 취약점 조치가 힘든 항목으로 나타났다. 모든 항목에 대한 취약점 조치가 중요하지만 미조치율이 높은 취약점 항목에 대해서는 개발 단계에서부터 선제적으로 대응하는 것이 중요하다고 볼 수 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
인젝션 취약점은 언제 발생하는가?
SQL, OS, XXE, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분이 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다.
XSS 취약점의 발생 원리는 무엇인가?
XSS 취약점은 어플리케이션이 적절한 유효성 검사 또는 이스케이프 처리없이 새 웹 페이지에 신뢰할 수 없는 데이터를 포함하거나 JavaScript를 생성할 수 있는 브라우저 API를 사용하여 사용자가 제공한 데이터로 기존 웹 페이지를 업데이트 한다. XSS를 사용하면 공격자가 희생자의 브라우저에서 사용자 세션을 도용하거나, 웹 사이트를 변조시키거나, 악성사이트로 리다이렉션 시킬 수 있다.
공격자의 인젝션 취약점으로 받는 영향은 무엇인가?
SQL, OS, XXE, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분이 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다.
AI-Helper
※ AI-Helper는 부적절한 답변을 할 수 있습니다.