메뉴펼치기
![[A+] OWASP top 10 과 국정원 8대취약점 조사 및 비교 1페이지](/data/rw_document_preview/2014/04/data1271121_001.gif)
![[A+] OWASP top 10 과 국정원 8대취약점 조사 및 비교 2페이지](/data/rw_document_preview/2014/04/data1271121_002.gif)
![[A+] OWASP top 10 과 국정원 8대취약점 조사 및 비교 3페이지](/data/rw_document_preview/2014/04/data1271121_003.gif)
![[A+] OWASP top 10 과 국정원 8대취약점 조사 및 비교 4페이지](/data/rw_document_preview/2014/04/data1271121_004.gif)
![[A+] OWASP top 10 과 국정원 8대취약점 조사 및 비교 5페이지](/data/rw_document_preview/2014/04/data1271121_005.gif)
![[A+] OWASP top 10 과 국정원 8대취약점 조사 및 비교 6페이지](/data/rw_document_preview/2014/04/data1271121_006.gif)
![[A+] OWASP top 10 과 국정원 8대취약점 조사 및 비교 7페이지](/data/rw_document_preview/2014/04/data1271121_007.gif)
![[A+] OWASP top 10 과 국정원 8대취약점 조사 및 비교 8페이지](/data/rw_document_preview/2014/04/data1271121_008.gif)
![[A+] OWASP top 10 과 국정원 8대취약점 조사 및 비교 9페이지](/data/rw_document_preview/2014/04/data1271121_009.gif)
![[A+] OWASP top 10 과 국정원 8대취약점 조사 및 비교 10페이지](/data/rw_document_preview/2014/04/data1271121_010.gif)
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
해당 자료는 3페이지 까지만 미리보기를 제공합니다.
3페이지 이후부터 다운로드 후 확인할 수 있습니다.
3페이지 이후부터 다운로드 후 확인할 수 있습니다.
목차
Ⅰ. OWASP TOP 10 이란 무엇인가??
1. OWASP TOP 10의 종류
Ⅱ. OWASP TOP 10의 설명과 해결방안
1. OWASP Top 10 2010 삭제된 항목
2. OWASP Top 10 2013 추가된 항목
3. OWASP TOP 2013 중요한 항목
Ⅲ. 국정원 8대 취약점이란 무엇인가??
1. 국정원 8대 취약점의 종류
2. 국정원 8대 취약점의 설명
Ⅳ. OWASP Top 10과 국정원 8대 취약점 비교
Ⅴ. OWASP TOP 10과 국정원 8대취약점에 대한 나의 생각
1. OWASP TOP 10의 종류
Ⅱ. OWASP TOP 10의 설명과 해결방안
1. OWASP Top 10 2010 삭제된 항목
2. OWASP Top 10 2013 추가된 항목
3. OWASP TOP 2013 중요한 항목
Ⅲ. 국정원 8대 취약점이란 무엇인가??
1. 국정원 8대 취약점의 종류
2. 국정원 8대 취약점의 설명
Ⅳ. OWASP Top 10과 국정원 8대 취약점 비교
Ⅴ. OWASP TOP 10과 국정원 8대취약점에 대한 나의 생각
본문내용
것을 제한하는 규약
를 추가시킨다.
- 모든 디렉터리에 대해 디렉터리 리스팅 취약점 존재 여부를 확인한다.
(2) 파일 다운로드
게시판 등에 저장된 자료에 대해 다운로드 스크립트를 이용하여 다운로드 기능을 제공하는 경우, 대상 자료파일의 위치 지정에 제한조건을 부여하지 않았다면 URL필드의 다운로드 스크립트의 인수 값에 ‘../’문자열 등을 입력하여 시스템 디렉터리 등에 있는 비공개 자료들이 유출되는 취약점이다.
해결방안 : 다운로드 받는 파일의 확장자를 비교해서 제한한다.
- 다운로드 받는 디렉터리의 이름을 고정되게 설정한다.
- 특정 입력 값에 대한 제한을 한다.
(3) 파일 업로드
첨부파일 업로드를 허용하는 홈페이지 게시판에서 .php, .jsp등의 확장자 이름의 스크립트 파일의 업로드를 허용할 경우 공격자가 악성 프로그램을 업로드한 후에 홈페이지 접속방식으로 원격에서 서버 컴퓨터의 시스템 운영 명령어를 실행 시킬 수 있는 취약점이다
해결방안 : 파일이 업로드 되는 시스템과 서비스가 운영되는 시스템과 분리한다.
- 확장자를 우회하여 업로드 하더라고 파일 이름과 확장자를 임의대로 수정한다.
- 서비스에 필요한 확장자만 허용한다.
(2) 테크노트
테크노트란 국내에서 개발되어 무료 배포중인 게시판 제작 프로그램으로 리눅스 및 유닉스 계열의 홈페이지 서버 컴퓨터에 주로 사용되는데 일부 CGI프로그램 웹 서버 혼자서 할 수 없는 일을 도와주는 애플리케이션
들에서 인수값 처리 시에 ‘|’문자 이후에 나오는 컴퓨터 운영 명령어가 실행될 수 있는 결함이 있어 해커가 홈페이지 접속 방식으로 컴퓨터 명령어를 실행하여 화면을 변조하거나 컴퓨터를 조작할 수 있는 취약점이다.
해결방안 : php의 설정파일인 php.ini와 apache 설정파일인 httpd.conf를 수정한다.
- 보안 취약점이 존재하는 소스를 수정하거나, 보안패치를 다운 받는다.
(3) 제로보드
제로보드 또한 국내에서 개발되어 무료 배포중인 게시판 제작 프로그램으로 리눅스 및 유닉스 계열의 홈페이지 서버 컴퓨터에 주로 사용되는데, 일부 php프로그램이 원격에 있는 php파일을 실행할 수 있는 결함이 있어 해커가 홈페이지 접속 방식으로 컴퓨터 명령어를 실행하여 화면을 변조하거나 컴퓨터를 조작할 수 있는 취약점이다.
해결방안 : 게시판 환경 설정에서 허용된 확장자만이 업로드 되도록 보안설정을 적용한다.
- httpd.conf 파일에서 Override FileInfo 와 Override All 의 설정을 삭제한다.
- 보안 취약점이 존재하는 소스를 수정하거나, 보안패치를 다운 받는다.
Ⅳ. OWASP Top 10과 국정원 8대 취약점
OWASP Top 10은 국제 기구에서 취약점 중에서 빈도가 많이 발생되는 10가지를 선정한것이고 국정원 8대 취약점은 국내에서 많이 악용되었던 취약점 8가지를 선정한 것이다. 서로 중복되는 것도 있고 중복되지 않은 것도 있지만 포괄적으로 보면 OWASP TOP 10 항목에 모두 포함이 된다.
1. OWASP Top 10과 국정원 8대 취약점 비교
국정원 8대 취약점
OWASP TOP 10 (2013)
1 - 디렉터리 리스팅 취약점
A1 - 인젝션(Injection)
2 -파일 다운로드 취약점
A2 취약한 인증과 세션 관리
3 - 크로스 사이트 스크립트(XSS)
A3 크로스 사이트 스크립팅(XSS)
4 - 파일 업로드 취약점
A4 안전하지 않은 직접 객체 참조
5 - 웹 DAV
A5 보안상 잘못된 구성
6 - TechNote
A6 중요한 정보 노출
7 - Zeroboard
A7 접근 제한 함수의 미흡
8 - SQL 인젝션
A8 - 크로스 사이트 요청 변조(CSRF)
A9 - 공개된 컴포넌트에 대한 취약점 노출
A10 확인되지 않은 리다이렉션과 포워드
국정원 8대 취약점과 OWASP Top 10 2013의 공통점
파일 업로드 크로스 사이트 스크립트(XSS) 파일 다운로드 SQL 인젝션
OWASP TOP 10은 포괄적인 범위이고 국정원 8대 취약점은 보다 세세하게 선정한 것이다.
국정원 8대 취약점은 포괄적으로 보면 OWASP TOP 10에 모두 포함되어 있다.
Ⅴ. OWASP TOP 10과 국정원 8대취약점에 대한 나의 생각
OWASP TOP 10과 국정원 8대 취약점을 보면 알 수 있듯이 많은 취약점들이 있고 해킹기법은 날이갈수록 발전하지만, OWASP TOP 10과 국정원 8대 취약점을 보면 알 수 있듯이 개발자와 관리자, 개인의 부주의로 인해 생기는 취약점들이 대부분입니다. 이러한 취약점들은 조금 더 보안에 신경 쓰고 언제나 보안의 중요성을 인식해야합니다.
1. 참조사이트
http://chogar.blog.me/80182116242 (OWASP TOP10 2010 2013 비교)
http://jjeonda.tistory.com/6 (OWASP TOP10의 설명)
http://cafe.naver.com/i2sec/1700 (OWASP TOP10의 설명)
http://blog.naver.com/cjc07?Redirect=Log&logNo=104465740 (OWASP TOP 10의 해결방안)
http://blog.naver.com/mpro1124?Redirect=Log&logNo=20153529250(OWASPTOP10의 설명)
http://www.boannews.com/media/view.asp?idx=32409&kind=1 (OWASP TOP 10의 설명
http://spearslove.tistory.com/47 (OWASP TOP 10의 보안취약점과 기술적 영향)
http://blog.evenstar.co.kr/23 (국정원 8대 취약점의 설명)
http://chogar.blog.me/80165985721 (파일 업로드 취약점 대응방안)
http://chogar.blog.me/80165985721 (파일 다운로드 취약점 대응방안)
http://totoriver.egloos.com/542516 (제로보드 취약점 대응방안)
http://blog.naver.com/kissme1004g?Redirect=Log&logNo=130100510650 (테크노트 대응방안)
를 추가시킨다.
- 모든 디렉터리에 대해 디렉터리 리스팅 취약점 존재 여부를 확인한다.
(2) 파일 다운로드
게시판 등에 저장된 자료에 대해 다운로드 스크립트를 이용하여 다운로드 기능을 제공하는 경우, 대상 자료파일의 위치 지정에 제한조건을 부여하지 않았다면 URL필드의 다운로드 스크립트의 인수 값에 ‘../’문자열 등을 입력하여 시스템 디렉터리 등에 있는 비공개 자료들이 유출되는 취약점이다.
해결방안 : 다운로드 받는 파일의 확장자를 비교해서 제한한다.
- 다운로드 받는 디렉터리의 이름을 고정되게 설정한다.
- 특정 입력 값에 대한 제한을 한다.
(3) 파일 업로드
첨부파일 업로드를 허용하는 홈페이지 게시판에서 .php, .jsp등의 확장자 이름의 스크립트 파일의 업로드를 허용할 경우 공격자가 악성 프로그램을 업로드한 후에 홈페이지 접속방식으로 원격에서 서버 컴퓨터의 시스템 운영 명령어를 실행 시킬 수 있는 취약점이다
해결방안 : 파일이 업로드 되는 시스템과 서비스가 운영되는 시스템과 분리한다.
- 확장자를 우회하여 업로드 하더라고 파일 이름과 확장자를 임의대로 수정한다.
- 서비스에 필요한 확장자만 허용한다.
(2) 테크노트
테크노트란 국내에서 개발되어 무료 배포중인 게시판 제작 프로그램으로 리눅스 및 유닉스 계열의 홈페이지 서버 컴퓨터에 주로 사용되는데 일부 CGI프로그램 웹 서버 혼자서 할 수 없는 일을 도와주는 애플리케이션
들에서 인수값 처리 시에 ‘|’문자 이후에 나오는 컴퓨터 운영 명령어가 실행될 수 있는 결함이 있어 해커가 홈페이지 접속 방식으로 컴퓨터 명령어를 실행하여 화면을 변조하거나 컴퓨터를 조작할 수 있는 취약점이다.
해결방안 : php의 설정파일인 php.ini와 apache 설정파일인 httpd.conf를 수정한다.
- 보안 취약점이 존재하는 소스를 수정하거나, 보안패치를 다운 받는다.
(3) 제로보드
제로보드 또한 국내에서 개발되어 무료 배포중인 게시판 제작 프로그램으로 리눅스 및 유닉스 계열의 홈페이지 서버 컴퓨터에 주로 사용되는데, 일부 php프로그램이 원격에 있는 php파일을 실행할 수 있는 결함이 있어 해커가 홈페이지 접속 방식으로 컴퓨터 명령어를 실행하여 화면을 변조하거나 컴퓨터를 조작할 수 있는 취약점이다.
해결방안 : 게시판 환경 설정에서 허용된 확장자만이 업로드 되도록 보안설정을 적용한다.
- httpd.conf 파일에서 Override FileInfo 와 Override All 의 설정을 삭제한다.
- 보안 취약점이 존재하는 소스를 수정하거나, 보안패치를 다운 받는다.
Ⅳ. OWASP Top 10과 국정원 8대 취약점
OWASP Top 10은 국제 기구에서 취약점 중에서 빈도가 많이 발생되는 10가지를 선정한것이고 국정원 8대 취약점은 국내에서 많이 악용되었던 취약점 8가지를 선정한 것이다. 서로 중복되는 것도 있고 중복되지 않은 것도 있지만 포괄적으로 보면 OWASP TOP 10 항목에 모두 포함이 된다.
1. OWASP Top 10과 국정원 8대 취약점 비교
국정원 8대 취약점
OWASP TOP 10 (2013)
1 - 디렉터리 리스팅 취약점
A1 - 인젝션(Injection)
2 -파일 다운로드 취약점
A2 취약한 인증과 세션 관리
3 - 크로스 사이트 스크립트(XSS)
A3 크로스 사이트 스크립팅(XSS)
4 - 파일 업로드 취약점
A4 안전하지 않은 직접 객체 참조
5 - 웹 DAV
A5 보안상 잘못된 구성
6 - TechNote
A6 중요한 정보 노출
7 - Zeroboard
A7 접근 제한 함수의 미흡
8 - SQL 인젝션
A8 - 크로스 사이트 요청 변조(CSRF)
A9 - 공개된 컴포넌트에 대한 취약점 노출
A10 확인되지 않은 리다이렉션과 포워드
국정원 8대 취약점과 OWASP Top 10 2013의 공통점
파일 업로드 크로스 사이트 스크립트(XSS) 파일 다운로드 SQL 인젝션
OWASP TOP 10은 포괄적인 범위이고 국정원 8대 취약점은 보다 세세하게 선정한 것이다.
국정원 8대 취약점은 포괄적으로 보면 OWASP TOP 10에 모두 포함되어 있다.
Ⅴ. OWASP TOP 10과 국정원 8대취약점에 대한 나의 생각
OWASP TOP 10과 국정원 8대 취약점을 보면 알 수 있듯이 많은 취약점들이 있고 해킹기법은 날이갈수록 발전하지만, OWASP TOP 10과 국정원 8대 취약점을 보면 알 수 있듯이 개발자와 관리자, 개인의 부주의로 인해 생기는 취약점들이 대부분입니다. 이러한 취약점들은 조금 더 보안에 신경 쓰고 언제나 보안의 중요성을 인식해야합니다.
1. 참조사이트
http://chogar.blog.me/80182116242 (OWASP TOP10 2010 2013 비교)
http://jjeonda.tistory.com/6 (OWASP TOP10의 설명)
http://cafe.naver.com/i2sec/1700 (OWASP TOP10의 설명)
http://blog.naver.com/cjc07?Redirect=Log&logNo=104465740 (OWASP TOP 10의 해결방안)
http://blog.naver.com/mpro1124?Redirect=Log&logNo=20153529250(OWASPTOP10의 설명)
http://www.boannews.com/media/view.asp?idx=32409&kind=1 (OWASP TOP 10의 설명
http://spearslove.tistory.com/47 (OWASP TOP 10의 보안취약점과 기술적 영향)
http://blog.evenstar.co.kr/23 (국정원 8대 취약점의 설명)
http://chogar.blog.me/80165985721 (파일 업로드 취약점 대응방안)
http://chogar.blog.me/80165985721 (파일 다운로드 취약점 대응방안)
http://totoriver.egloos.com/542516 (제로보드 취약점 대응방안)
http://blog.naver.com/kissme1004g?Redirect=Log&logNo=130100510650 (테크노트 대응방안)
키워드
- 가격1,800원
- 페이지수10페이지
- 등록일2014.04.11
- 저작시기2013.3
- 파일형식한글(hwp)
- 자료번호#912854
본 자료는 최근 2주간 다운받은 회원이 없습니다.
소개글