OWASP Top 10 2013이 발표되었습니다. 이번 업데이트는 2010년 Top 10에 비해 일반적이면서도 중요한 취약점 분류
기준을 확대 적용하였으며, 얼마나 많이 퍼져있는가를 기준으로 순위를 재조정하였습니다. 또한 2010년 Top 10의
‘A6:보안 설정 오류’의 세부적인 설명의 모호함을 해소하고자, 위협 분류 가운데 컴포넌트 보안을 새로 포함하였습니다.
OWASP Top 10 2013은 애플리케이션 보안을 전문으로 하는 7개 기업의 8개 데이터세트를 토대로 하였습니다. 이
데이터들은 수백 개 기업, 수천 개의 애플리케이션에 걸친 500,000개 이상의 취약점들을 포함하고 있습니다. Top 10 각 항목들은 이 가운데 가장 많이 퍼져있는 데이터를 기준으로, 취약점 공격 가능성, 탐지 가능성, 그리고 영향 평가 등을 함께 고려하여 선정되었습니다.
OWASP Top 10을 선정하는 가장 큰 이유는 가장 중요한 웹 애플리케이션의 보안 취약점 개발자, 설계자, 아키텍트, 운영자, 혹은 기관들에게 주요 웹 애플리케이션 보안 취약점으로 인한 영향을 알리기 위해서입니다. Top 10은 위험도가 큰 문제들에 대해 대응할 수 있는 기본적인 기술을 제공하며, 또한 이를 근거로 향후 방향을 제시하고 있습니다.
OWASP Top 10 2013이 발표되었습니다. 이번 업데이트는 2010년 Top 10에 비해 일반적이면서도 중요한 취약점 분류
기준을 확대 적용하였으며, 얼마나 많이 퍼져있는가를 기준으로 순위를 재조정하였습니다. 또한 2010년 Top 10의
‘A6:보안 설정 오류’의 세부적인 설명의 모호함을 해소하고자, 위협 분류 가운데 컴포넌트 보안을 새로 포함하였습니다.
OWASP Top 10 2013은 애플리케이션 보안을 전문으로 하는 7개 기업의 8개 데이터세트를 토대로 하였습니다. 이
데이터들은 수백 개 기업, 수천 개의 애플리케이션에 걸친 500,000개 이상의 취약점들을 포함하고 있습니다. Top 10 각 항목들은 이 가운데 가장 많이 퍼져있는 데이터를 기준으로, 취약점 공격 가능성, 탐지 가능성, 그리고 영향 평가 등을 함께 고려하여 선정되었습니다.
OWASP Top 10을 선정하는 가장 큰 이유는 가장 중요한 웹 애플리케이션의 보안 취약점 개발자, 설계자, 아키텍트, 운영자, 혹은 기관들에게 주요 웹 애플리케이션 보안 취약점으로 인한 영향을 알리기 위해서입니다. Top 10은 위험도가 큰 문제들에 대해 대응할 수 있는 기본적인 기술을 제공하며, 또한 이를 근거로 향후 방향을 제시하고 있습니다.
2016년 8월 10일 팁스타운에서 강연한 Tony Lee의 China 101 자료입니다.
* 자료의 저작권은 '쿵'에게 있으며, 상업적 이용이나 서명을 없애는 것이 아니라면 자유롭게 사용 가능합니다. 단, 출처는 반드시 써주시기 바랍니다. 재가공판매 및 상업적 이용은 엄금합니다. 감사합니다.
1. 중국 크라우드펀딩 발전 배경
2. 거시적환경요소
3. 거시적환경요소 - PEST 분석
4. 경제성장 둔화와 다양한 융자 루트 필요성
5. 2011-2015년 중국 GPD변화 / 2015 중국 소기업 금융기관 융자현황
6. 거시적 경제환경과 소비상승. 크라우드펀딩의 발전기회
7. 중국 소매 매출총액 변동현황 / 2020년 중국 도시 중산층 소비변화 예측
8. 현재 중국 크라우드펀딩은 산업 탐색기
9. 크라우드펀딩 v1.0, v2.0
10. Reference
Analysys社, ‘中国互联网众筹市场专题研究报告2016’, 2016. 8.24
11. Contact
chinastartup@roaconsulting.co.kr
Infomation + Graphic = Infographic !!
다양한 데이터와 정보를 한 눈에 보기 쉽도록 만들어주는
인포그래픽!!
데이터 저널리즘에서 꼭 필요한 것이 바로
데이터 시각화 툴, 인포그래픽입니다!
뉴스젤리가 모아본 인포그래픽의 유형 총정리!!
1. 인포그래픽
1) 숫자 강조
2) 연도 강조
3) 그래프 강조
4) 순서, 방법 강조
5) 사진 강조
6) VS 강조
2. 인터랙티브 인포그래픽
3. 모션 인포그래픽
데이터 저널리즘의 새 바람, 뉴스젤리(Newsjelly)
http://newsjel.ly
악성코드는 끊임없이 지능화되어 가며 사용자들의 데이터를 노리고 있는데, 우리는 이러한 공격으로부터 안전할까요? 나는 아니겠지 하는 한순간의 방심으로 우리 회사의 데이터가 공격자로부터의 인질이 될 수 있습니다. AWS 인프라 환경에서 랜섬웨어로부터 보호하기 위한 방법은 무엇인지 살펴보며, 안전하게 구축하기 위한 전략을 함께 찾아봅니다. 완벽한 보안은 항상 어려운 일이지만, 이 몇 단계의 기본을 지키는 준비만으로도 여러분의 AWS 보안은 달라질 것입니다.
2016년 8월 10일 팁스타운에서 강연한 Tony Lee의 China 101 자료입니다.
* 자료의 저작권은 '쿵'에게 있으며, 상업적 이용이나 서명을 없애는 것이 아니라면 자유롭게 사용 가능합니다. 단, 출처는 반드시 써주시기 바랍니다. 재가공판매 및 상업적 이용은 엄금합니다. 감사합니다.
1. 중국 크라우드펀딩 발전 배경
2. 거시적환경요소
3. 거시적환경요소 - PEST 분석
4. 경제성장 둔화와 다양한 융자 루트 필요성
5. 2011-2015년 중국 GPD변화 / 2015 중국 소기업 금융기관 융자현황
6. 거시적 경제환경과 소비상승. 크라우드펀딩의 발전기회
7. 중국 소매 매출총액 변동현황 / 2020년 중국 도시 중산층 소비변화 예측
8. 현재 중국 크라우드펀딩은 산업 탐색기
9. 크라우드펀딩 v1.0, v2.0
10. Reference
Analysys社, ‘中国互联网众筹市场专题研究报告2016’, 2016. 8.24
11. Contact
chinastartup@roaconsulting.co.kr
Infomation + Graphic = Infographic !!
다양한 데이터와 정보를 한 눈에 보기 쉽도록 만들어주는
인포그래픽!!
데이터 저널리즘에서 꼭 필요한 것이 바로
데이터 시각화 툴, 인포그래픽입니다!
뉴스젤리가 모아본 인포그래픽의 유형 총정리!!
1. 인포그래픽
1) 숫자 강조
2) 연도 강조
3) 그래프 강조
4) 순서, 방법 강조
5) 사진 강조
6) VS 강조
2. 인터랙티브 인포그래픽
3. 모션 인포그래픽
데이터 저널리즘의 새 바람, 뉴스젤리(Newsjelly)
http://newsjel.ly
악성코드는 끊임없이 지능화되어 가며 사용자들의 데이터를 노리고 있는데, 우리는 이러한 공격으로부터 안전할까요? 나는 아니겠지 하는 한순간의 방심으로 우리 회사의 데이터가 공격자로부터의 인질이 될 수 있습니다. AWS 인프라 환경에서 랜섬웨어로부터 보호하기 위한 방법은 무엇인지 살펴보며, 안전하게 구축하기 위한 전략을 함께 찾아봅니다. 완벽한 보안은 항상 어려운 일이지만, 이 몇 단계의 기본을 지키는 준비만으로도 여러분의 AWS 보안은 달라질 것입니다.
AWS 네트워크 보안을 위한 계층별 보안 구성 모범 사례 – 조이정, AWS 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집Amazon Web Services Korea
* 발표 동영상: https://youtu.be/r84IuPv_4TI
AWS 서비스 환경을 대상으로 하는 각종 보안 위협에 대응하기 위해 인터넷에서 유입되는 트래픽에 대한 안전한 보호와 VPC 내부에서 발생할 수 있는 다양한 네트워크 트래픽을 보다 효율적이고 안전하게 보호할 수 있는 네트워크 보안 구성 방안과 모범 사례에 대해 소개합니다.
다시보기 영상 링크: https://youtu.be/QGgQOcA3W6w
클라우드로의 마이그레이션이 증가하면서, 퍼블릭 클라우드를 목표로 한 공격도 폭증하고 있습니다. 특히, 클라우드 관리자의 자격증명을 탈취하려는 시도나 탈취된 자격증명을 이용하여 중요정보를 유출하고 대규모로 비트코인 채굴을 시도하는 행위들이 늘어가고 있습니다. AWS로의 이관을 고려하고 있거나 사용중인 고객들이라면, 이와 같이 클라우드의 특성을 활용하여 발생하고 있는 정교한 보안 위협들에 대응하기 위한 방법을 고민하셔야 합니다. 본 세션에서는 이러한 클라우드 네이티브 위협들에 효과적으로 대응하는 기능을 제공하는 GuardDuty, Inspector, Config, SecurityHub와 같은 AWS 보안 서비스들에 대한 설명을 진행합니다.
Internet Security Appliance for Drive by download protection.
한국 인터넷 환경에 대한 모니터링을 통한 감염 예방. 그리고 내부 감염 리스트의 확인.
감염예방 및 감염된 클라이언트의 탐지 식별에 특화된 차단 및 탐지 장비. Bitscan의 7년
이상의 PCDS 탐지 및 추적 결과가 축적된 서비스. ML의 일종인 연관관계분석으로 사고 발생 서비스에 대한 가장 빠른 탐지 가능.
C&C , Malicious Link , Malicious file, Detect Infected client
OWASP에 대응할 수 있는 애플리케이션/웹 보안 솔루션 앱스캔(AppScan)의 Standard Editin에 대한 자료입니다.
AppScan의 다른 에디션인 Source Edition 에 대한 설명은 이쪽으로!
☞https://www.slideshare.net/eunoakcho/ibm-app-scan-source-edition
최근 랜섬웨어(Ransomware)를 통한 공격이 늘어나고 있습니다. 이에 대비하여 AWS 클라우드를 사용하는 고객의 대응 방안에 대해 알려드리는 보안 특집 세미나입니다. 본 세션에서는 다원화되고 있는 랜섬웨어 공격 패턴과 WannaCry 같은 잘 알려진 공격 및 이에 대한 AWS 공식적인 보안 공지 및 대응 매뉴얼을 소개합니다. 또한, AWS 고객들이 랜섬웨어 공격에 미리 대비하기 위해 OS 패치 및 보안 관리를 위한 EC2 System Manager, VPC 보안 그룹 및 Flow Logs 활용 방법, AWS Inspector 를 통한 취약점 관리 등에 대해 상세히 설명합니다.
보안 사고 예방을 위한 주요 AWS 모범 사례 – 신은수, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집Amazon Web Services Korea
* 발표 동영상: https://youtu.be/KGibV5yV9U8
AWS 사용 환경에서 발생할 수 있는 다양한 보안 사고의 원인 중 상위 5개 (부적절한 보안 그룹 설정, 부적절한 자격증명 관리, 패치미적용, S3 버킷 퍼블릭 공개, DDoS 에 취약한 아키텍처)의 보안 위협에 대해 설명하고 각 보안 위협을 해소할 수 있는 AWS 모범 사례에 대해 설명합니다.
기업의 클라우드 도입에 있어 비즈니스의 성장과 함께 보안, 안전성, 지속가능성 등의 요소에 대한 고려는 필수가 되었습니다. AWS 컨트롤 타워는 클라우드 거버넌스와 비즈니스 혁신을 동시에 확보할 수 있는 서비스입니다. 23년 농심의 온프레미스에서 운영되던 ERP를 SAP on AWS로 성공적으로 전환하는 과정에서 AWS 컨트롤 타워를 적용하여 다중 계정 환경을 구성하고 보안 가드레일을 통해서 효율적인 자원 관리 및 차세대 보안준비가 가능해진 성공사례와 함께 서비스의 주요 기능을 알기 쉽게 설명 드리겠습니다.
2020년 3월 10일에 오래간만에 촬영한 한국어 웨비나입니다. Cloudflare는 네트워크 보안을 많이 다루는데, 네트워크 보안 관련 위협이 되는 직간접적인 요소들을 짚어보고, 이런 요소들로 인해 비즈니스에 어떤 구체적인 위협들이 있는지, 공격자가 어떤 식으로 공격을 실행하는지, 그 후 보안 솔루션으로서 Cloudflare가 소개된 공격들을 막을 수 있도록 어떤 방법들을 구비하고 있는지를 설명했습니다.
회사는 함께 문제를 풀어나가는 곳이라 생각하고
관련하여 프로세스 개선에 대해 고군분투하고 있습니다.
궁극적으로는 함께 협업하는 개발문화를 만들어 나가는 것이라 생각하는데요.
서로를 인정하는 것이 중요한 포인트입니다.
힘을 쏟고 있는 저희 경험이 도움이 되셨으면 하고
좋은 인연의 시작이 되었으면 합니다.
2. 01 OWASP 란 ?
02 A1 – 인젝션
03 A2 – 인증 및 세션 관리 취약점
04 A3 – 크로스 사이트 스크립팅
05 A4 – 취약한 직접 객체 참조
06 A5 – 보안 설정 오류
07 A6 – 민감 데이터 노출
08 A7 – 기능 수준의 접근 통제 누락
09 A8 – 크로스 사이트 요청 변조 (CSRF)
10 A9 – 알려진 취약점이 있는 컴포넌트 사용
11 A10 – 검증되지 않은 리다이렉트 및 포워드
12 웹 보안 프로젝트 관련 참조 사이트
Contents
3. 1 >
>
01 OWASP 란 ?
OWASP (The Open Web Application Security Project)
국제웹보안표준기구
직역하면 오픈소스 웹 어플리케이션 보안 프로젝트
주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구
10대 웹 어플리케이션 취약점 (OWASP Top 10)을 발표
융합서비스보안학과 정다운OWASP Top 10 - 2013
4. 2 >
>
02 A1 – 인젝션
인젝션 (Injection)
명령어나 질의문의 일부분으로서 인터프리터로 보내질 때 발생
예상하지 못하는 명령을 실행시키거나, 적절한 권한 없이 데이터에 접근하도록
인터프리터를 속이는 공격자의 악의적인 공격
대표적인 예 (SQL Injection)
MEMBER
ID PW
admin admin
아이디 ’ or 1=1 #
패스워드 love
정상 : SELECT ID, PW FROM MEMBER ID = ‘admin’ AND PW = ‘admin’
공격 : SELECT ID, PW FROM MEMBER ID = ‘’OR 1=1 # PW = ‘love’
※ 주석 : MYSQL (#), MS-SQL, ORACLE (--)
참
융합서비스보안학과 정다운OWASP Top 10 - 2013
5. 3 >
>
02 A1 – 인젝션 (Cont.)
영향
데이터베이스에 저장된 데이터 값을 조회, 열람, 삭제, 추가 가능
인증 절차를 비정상적으로 우회 가능
데이터베이스에 활용되는 시스템 명령어를 활용하여 데이터베이스 시스템 조작 가능
대응방안
사용자로부터 전달되는 파라미터 중 에러를 유발할 수 있는 특수문자,
DB 쿼리문에 사용되는 모든 파라미터 필터링 필터링 할 특수 문자 필터링 할 특수 구문
' union
" select
-- insert
/*, */ drop
( update
) and
> or
< If
= Join
융합서비스보안학과 정다운OWASP Top 10 - 2013
6. 4 >
>
03 A2 – 인증 및 세션 관리 취약점
인증 및 세션 관리 취약점
데이터베이스에 저장된 데이터 값을 조회, 열람, 삭제, 추가 가능
인증 절차를 비정상적으로 우회 가능
데이터베이스에 활용되는 시스템 명령어를 활용하여 데이터베이스 시스템 조작 가능
대표적인 예
세션이 암호 되지 않았기 때문에 쿠키 전용 툴, 프록시 툴을 사용해
로그인한 사용자의 쿠키 값을 추출 후 그 값을 그대로 재입력 시 다른 사용자로 로그인 가능
이는 XSS, CSRF 공격 등으로 확장될 가능성과 사용자의 권한을 획득
융합서비스보안학과 정다운OWASP Top 10 - 2013
7. 5 >
>
03 A2 – 인증 및 세션 관리 취약점 (Cont.)
영향
이러한 결함으로 일부 또는 모든 계정이 공격 당할 수 있음
공격이 성공하면, 공격자는 피해자가 할 수 있는 모든 것을 할 수 있음
대응방안
취약한 인증과 세션을 근본적으로 막기 위해서는
소스코드에서 인증 시 마다 동일한 세션 ID가 발급되거나
세션 만료 시간을 너무 길게 설정하지 않고,
세션 ID는 로그인 시 마다 추측할 수 없는 세션 ID나 토큰으로 발급하거나
프록시 툴로 인해 넘어가는 값이 보이지 않도록 하고 세션 타임아웃 설정을 통해
일정시간 동안 움직임이 없을 경우 자동 로그아웃 되도록 구현
융합서비스보안학과 정다운OWASP Top 10 - 2013
8. 6 >
>
04 A3 – 크로스 사이트 스크립팅 (XSS)
크로스 사이트 스크립팅 (XSS)
Cross Site Scripting 의 약자로 CSS와 구분하기 위해 XSS라고 표기
공격자가 웹 페이지에 악성 스크립트(HTML, Javascript 등)를 삽입할 수 있는 취약점
사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타남
주로 여러 사용자가 보는 게시판에 활용되며 쿠키, 세션 등 사용자의 정보 탈취
융합서비스보안학과 정다운OWASP Top 10 - 2013
9. 7 >
>
04 A3 – 크로스 사이트 스크립팅 (XSS) (Cont.)
대표적인 예 (게시판을 통한 다른 사용자의 정보 탈취)
융합서비스보안학과 정다운OWASP Top 10 - 2013
10. 8 >
>
04 A3 – 크로스 사이트 스크립팅 (XSS) (Cont.)
대표적인 예 (게시판을 통한 다른 사용자의 정보 탈취)
융합서비스보안학과 정다운OWASP Top 10 - 2013
11. 9 >
>
04 A3 – 크로스 사이트 스크립팅 (XSS) (Cont.)
대표적인 예 (게시판을 통한 다른 사용자의 정보 탈취)
융합서비스보안학과 정다운OWASP Top 10 - 2013
12. 10 >
>
04 A3 – 크로스 사이트 스크립팅 (XSS) (Cont.)
대표적인 예 (게시판을 통한 다른 사용자의 정보 탈취)
융합서비스보안학과 정다운OWASP Top 10 - 2013
13. 11 >
>
04 A3 – 크로스 사이트 스크립팅 (XSS) (Cont.)
대표적인 예 (게시판을 통한 다른 사용자의 정보 탈취)
융합서비스보안학과 정다운OWASP Top 10 - 2013
14. 12 >
>
04 A3 – 크로스 사이트 스크립팅 (XSS) (Cont.)
대표적인 예 (게시판을 통한 다른 사용자의 정보 탈취)
융합서비스보안학과 정다운OWASP Top 10 - 2013
15. 13 >
>
04 A3 – 크로스 사이트 스크립팅 (XSS) (Cont.)
대표적인 예 (게시판을 통한 다른 사용자의 정보 탈취)
융합서비스보안학과 정다운OWASP Top 10 - 2013
16. >
>
04 A3 – 크로스 사이트 스크립팅 (XSS) (Cont.)
영향
이러한 결함으로 일부 또는 모든 계정이 공격 당할 수 있음
공격이 성공하면, 공격자는 피해자가 할 수 있는 모든 것을 할 수 있음
또, 스크립트를 통해 악성코드에 감염될 수 있음
대응방안
게시판 사용자 입력 값 검증
쿠키 값 암호화
악의적인 공격이 일어날 수 있는 입력 값의 적절한 치환으로 스크립트 실행 차단 코딩
14
입력 값 수정 값(ASCII) 입력 값 수정 값(ASCII)
< < ) )
> > # #
( ( & &
스크립트를 브라우저에서 일반 문자로 인식하고 실행되지 않음
융합서비스보안학과 정다운OWASP Top 10 - 2013
17. >
>
05 A4 – 취약한 직접 객체 참조
취약한 직접 객체 참조
직접 객체 참조는 개발자가 파일, 디렉토리, 데이터베이스 키와 같은
내부 구현 객체를 참조하는 것을 노출시킬 때 발생
접근 통제를 통한 확인이나 다른 보호수단이 없다면,
공격자는 노출된 참조를 조작하여 허가 받지 않은 데이터에 접근
대표적인 예 (디렉토리 리스팅, 파라미터 변조)
15융합서비스보안학과 정다운OWASP Top 10 - 2013
18. >
>
05 A4 – 취약한 직접 객체 참조
영향
이러한 결함은 파라미터에 의해 참조되는 모든 데이터를 침해할 수 있음
구체적으로 설명하면 인자 값들을 조작한 결과 상대 경로를 통하여
웹 서버 파일 경로 수집, 웹 서버의 파일 다운로드를 통해 파밍에 이용될 수 있음
권한이 없는 사용자도 수정 권한 등을 얻을 수 있음
대응방안
허가되지 않은 사용자가 디렉토리를 볼 수 없게 웹 서버 설정 변경 (IIS, Linux 등)
신뢰되지 않은 곳으로부터 직접적인 객체 참조를 사용하는 경우
요청된 객체에 대해 사용자가 권한이 있는지 확인하는 접근 통제를 포함
웹 서버와 파일 다운로드 웹 애플리케이션을 담당하는 서버를 물리적으로 분리
16융합서비스보안학과 정다운OWASP Top 10 - 2013
19. >
>
06 A5 – 보안 설정 오류
보안 설정 오류
훌륭한 보안은 애플리케이션, 프레임워크, 애플리케이션 서버, 웹 서버,
데이터베이스 서버 및 플랫폼에 대해 보안 설정이 정의되고 적용되어 있음
기본으로 제공되는 값은 종종 안전하지 않기 때문에
보안 설정은 정의, 구현 및 유지되어야 함
또한 소프트웨어는 최신의 상태로 유지
대표적인 예 (게시판 수정 권한)
17
접근 권한 코딩이 적용 되지 않아
인증되지 않은 사용자도
게시물을 수정할 수 있음
융합서비스보안학과 정다운OWASP Top 10 - 2013
20. >
>
06 A5 – 보안 설정 오류 (Cont.)
영향
어떤 결함은 공격자에게 특정 시스템 데이터나 기능에 대한 무단 접근 권한을 주게 됨
이러한 결함으로 때로는 시스템이 완전히 해킹될 수 있음
대응방안
운영체제, 웹/앱 서버, DBMS, 코드 라이브러리들의 소프트웨어 보안 업데이트
또는 보안 위협이 생기지 않도록 구성
18융합서비스보안학과 정다운OWASP Top 10 - 2013
21. >
>
07 A6 – 민감 데이터 노출
민감 데이터 노출
서버와 클라이언트간 통신 시 암호화 하여 전송을 하지 않아
민감한 정보(신용카드번호, 여권번호, 주민등록번호 등)가 평문으로 전송되는 등
민감한 정보가 노출되는 취약점
대표적인 예 (민감한 데이터 평문 전송)
19
민감한 정보인 아이디와 암호가 평문으로 전송 되어
프록시 툴(Burp Suite)로 열람 시 그대로 노출
이를 통해 사용자의 권한을 얻어 정보의 조회, 수정, 삭제 등
개인정보 유출로 인한 2차 피해가 발생할 수 있음
융합서비스보안학과 정다운OWASP Top 10 - 2013
22. >
>
07 A6 – 민감 데이터 노출 (Cont.)
영향
공격자들은 암호문을 직접 풀지는 않음
대신 키를 훔치거나 중간 공격을 하기도 하고, 서버에 저장된 평문으로 된 정보나
사용자의 브라우저에서 송수신 중인 정보를 훔침
이러한 정보는 일반적으로 건강 기록이나 인증 데이터,
신용 카드 등의 민감한 내용을 포함하고 있기 때문에 심각한 피해가 초래될 수 있음
대응방안
민감한 정보들이 파라미터 값으로 넘어갈 때 평문이 아닌 암호화되어 전송하게 함
오래되었거나 취약한 암호 알고리즘 사용 금지
웹 상에서의 전송 정보를 제한하여 불필요한 비밀번호, 주민등록번호,
계좌정보 와 같은 중요 정보의 전송을 최소화
20융합서비스보안학과 정다운OWASP Top 10 - 2013
23. >
>
08 A7 – 기능 수준 접근 통제 누락
기능 수준 접근 통제 누락
대부분의 웹 애플리케이션은 UI에 해당 기능을 보이게 하기 전에
기능 수준의 접근권한을 확인
또, 애플리케이션은 각 기능에 접근하는 서버에 동일한 접근통제 검사를 수행
요청에 대해 적절히 확인하지 않을 경우 공격자는 적절한 권한 없이
기능에 접근하기 위한 요청을 위조할 수 있음
대표적인 예 (허가되지 않은 사용자의 게시물 작성, 삭제)
21융합서비스보안학과 정다운OWASP Top 10 - 2013
24. >
>
08 A7 – 기능 수준 접근 통제 누락 (Cont.)
영향
공격자는 최고관리자 기능(Administrative functions)이 주요 공격 목표
관리자를 사칭하여 글을 등록하거나
다른 사용자의 글을 수정하고 결제하는 등 금전적인 피해가 발생할 수 있음
상대 경로로 접근하여 서버 측의 중요 파일을 다운로드 할 수 있음
대응방안
명백히 허가된 특정 역할만 접근할 수 있도록 코딩 및 설정
22융합서비스보안학과 정다운OWASP Top 10 - 2013
25. >
>
09 A8 – 크로스 사이트 요청 변조 (CSRF)
크로스 사이트 요청 변조 (CSRF)
Cross Site Request forgery의 약자
희생자가 자신의 의지와는 무관하게
해커가 의도한 행위(수정, 삭제, 생성 등)을 특정 웹 사이트에 요청하는 공격
크로스 사이트 스크립트(XSS)와 Script를 이용한다는 점은 같지만
XSS는 악성 스크립트가 사용자 클라이언트에서 일어나고,
CSRF는 인증 완료된 다른 사람의 권한으로 서버에 부정적인 요청을 함
희생자가 웹사이트에 CSRF공격 코드가 삽입된 페이지를 열면
이후에는 사용자의 행동과 관계없이 희생자의 웹 브라우저와
공격 대상 웹사이트 간의 상호작용이 이루어 짐
23융합서비스보안학과 정다운OWASP Top 10 - 2013
26. >
>
09 A8 – 크로스 사이트 요청 변조 (CSRF) (Cont.)
대표적인 예
24
게시판의 소스보기를 통해 넘어가는 파라미터 값과 저장되는 곳을 확인
융합서비스보안학과 정다운OWASP Top 10 - 2013
27. >
>
09 A8 – 크로스 사이트 요청 변조 (CSRF) (Cont.)
대표적인 예
25
공격자가 올린 게시글을 읽었을 때 피해자의 정보가 수정될 수 있도록 스크립트 작성
융합서비스보안학과 정다운OWASP Top 10 - 2013
28. 융합서비스보안학과 정다운OWASP Top 10 - 2013 >
>
09 A8 – 크로스 사이트 요청 변조 (CSRF) (Cont.)
대표적인 예
26
공격자가 올린 게시글을 읽었을 때 피해자의 정보가 수정됨
만약 관리자가 이 게시글을 보게 되면 관리자의 비밀번호가 공격자가 설정해놓은
비밀번호로 변경이 되고 공격자는 이를 가지고 악의적인 행동을 할 수 있음
29. >
>
09 A8 – 크로스 사이트 요청 변조 (CSRF) (Cont.)
영향
사용자가 공격자의 글을 읽는 순간 공격자는 사용자의 정보를 수정, 삭제, 변조 가능
또는, 자동 글쓰기 혹은 물품 구매 등 금전적인 피해가 가능
대응방안
XSS와 비슷한 방안으로, 스크립트 구문의 적절한 치환으로 코딩
중요한 정보를 처리하는(결제 등) 과정에서 반드시 사용자를 재인증
27융합서비스보안학과 정다운OWASP Top 10 - 2013
30. >
>
10 A9 – 알려진 취약점이 있는 컴포넌트 사용
알려진 취약점이 있는 컴포넌트 사용
간단히 말하자면 취약점이 발견된 이전 버전을 계속 사용하고 있는 것으로
"최신 버전 업데이트 미흡" 이라고 말할 수 있음
일부 프로그램의 경우 자체적으로 업데이트를 권고하고
또한 업데이트를 하는 것이 쉽지만, 현재 운영중인 대형 서버와 같이
실시간으로 업데이트를 하기 어려운 경우에 자주 발생하기 쉬운 취약점
대표적인 예
28
다음 팟플레이어에
임의코드 실행 취약점이 발생,
이에 대한 업데이트 공시
이때 바로 업데이트 하지 않으면
해킹의 대상이 될 수 있음
융합서비스보안학과 정다운OWASP Top 10 - 2013
31. >
>
10 A9 – 알려진 취약점이 있는 컴포넌트 사용 (Cont.)
영향
취약점이 있는 컴포넌트를 사용하면 인젝션,
접근통제 우회, XSS 등을 포함한 모든 종류의 취약점들이 가능
공격자가 시스템을 완전하게 장악하고 정보를 탈취할 수 있을 정도까지도 가능
대응방안
본인이 만들지 않는 컴포넌트를 사용하지 않는 것이 방법이지만,
현실적으로는 사용중인 것들에 대한 최신 보안 업데이트가 중요
29융합서비스보안학과 정다운OWASP Top 10 - 2013
32. >
>
11 A10 – 검증되지 않은 리다이렉트 및 포워드
검증되지 않은 리다이렉트(넘겨 주기, 다시 보냄) 및 포워드(발송)
웹 애플리케이션은 종종 사용자들을 다른 페이지로 리다이렉트 하거나 포워드하고,
대상 페이지를 결정하기 위해 신뢰할 수 없는 데이터를 사용
적절한 검증 절차가 없으면 공격자는 피해자를 피싱 또는 악성코드 사이트로
리다이렉트 하거나 승인되지 않은 페이지에 접근하도록 전달
대표적인 예 (Click Jacking)
30융합서비스보안학과 정다운OWASP Top 10 - 2013
33. >
>
11 A10 – 검증되지 않은 리다이렉트 및 포워드
대표적인 예 (Click Jacking)
31융합서비스보안학과 정다운OWASP Top 10 - 2013
34. >
>
11 A10 – 검증되지 않은 리다이렉트 및 포워드 (Cont.)
영향
리다이렉트는 사용자로 하여금 악성프로그램을 설치하거나
패스워드와 같은 민감한 정보들을 노출하도록 유도
안전한지 않은 포워드는 접근 통제를 우회할 수도 있음
대응방안
목적지를 조작할 수 있는 사용자 파라미터를 포함하지 말아야 함
파라미터 값이 허용된 목적지 요소들만 포함하고 있는지 확인
사이트 전환 시 사용자가 기존 사이트를 벗어나려 할 때 경고창을 띄어 알려줌
실제 URL 또는 그 URL의 일부 보다는 맵핑 된 값을 목적 파라미터로 사용하고,
서버측 코드에서 그 맵핑 값을 목표 URL로 변환
32융합서비스보안학과 정다운OWASP Top 10 - 2013
35. >
>
12 웹 보안 프로젝트 관련 참조 사이트
OWASP
http://www.owasp.org/
국정원 8대 취약점
2005년 국가사이버안전센터(NCSC)에서 국내 각 기관에서 홈
페이지 해킹에 많이 악용되었던 보안취약점 8종을 선정하고 발표
WASC (Web Application Security Consortium)
http://www.webappsec.org/
33융합서비스보안학과 정다운OWASP Top 10 - 2013