Ⅱ. Safecode와 취약점 분석 툴
Download
Report
Transcript Ⅱ. Safecode와 취약점 분석 툴
웹 애플리케이션 취약점 제거 및 관리 솔루션
Safecode® 3.0
: Web Application Vulnerability removal & management
㈜코드원
목차
Ⅰ. Safecode는?
Ⅱ. Safecode와 취약점분석 툴
Ⅲ. 구축 사례
Ⅳ. 보안관련 주요 지침 대비 Safecode
2015-04-13
2
Ⅰ.
Safecode는 ?
1.1. 기능 및 특징
1.2. 적용 절차
1.3. 구성도
1.4. 적용 예
1.5. 모니터링
1.6. 지원환경
1.7. 판매형태
2015-04-13
3
Ⅰ. Safecode는?
Safecode는 취약한 어플리케이션의 개선을 통한 웹 보안 솔루션으로 S/W(보안솔루션) 와 사람(보안
컨설팅)이 결합된 반(半)제품 형태의 솔루션 입니다.
* Gartner보고서에 의하면 Tool 에 의한 보안은 이루고자 하는 최대 목표의 48% 이상 이룰 수가 없습니다.
Software
사람
Secure Library
보안컨설턴트
보안 코딩시 필요한 보안
프로세스를 Compact Module화
Webhack Monitoring
보안개발자
Lib. 모니터링을 통한 불법침입
- 소스 취약점 진단 및
커스터마이징
- Secure Lib.와 보안코딩을 이용
하여 취약점 제거
탐지, 홈페이지 위변조 탐지
2015-04-13
Safecode
- 웹 어플리케이션 취약점 진단
- 모의해킹
- 전문 도구 활용(상용 도구)
4
1-1. 기능 및 특징
Secure Lib. 와 보안코딩을 통하여 최소한의 프로그램 수정 만으로 웹 취약점 제거
일관된 보안 프로세스의 유지, 업데이트 및 기능추가, 유지보수 등 용이
비인가자 및 유지 보수 인력에 의한 보안 프로세스 훼손 방지
웹 프로그래밍 언어의 특징에 최적화되게 모듈화 (JSP, JAVA, ASP, PHP, DOTNET)
어플리케이션 전체의 비즈니스 로직과 보안 핵심프로세스 로직의 완전 분리 모듈화
소스레벨의 Black List IP접근 제어
불법침입 시도에 대한 해킹 발생 포인트 레벨에서 실시간 모니터링 기능 제공
기간별, 공격유형별, ip별, site별 보고서 제공
주기적 취약점을 통한 보안성 강화 구현
침해사고시 대응
2015-04-13
5
1-2. 적용 절차
I.
1.
웹 취약점 분석 툴을 활용한 취약점 분석
- 보안설정 및 취약점 탐지
2.
보안 컨설턴트에 의한 모의 해킹
- 취약점 분석 툴로 점검하기 어려운 부분에 대한 취약점 탐지
3.
II. S/W 상관 관계 분석
취약점 분석
소스 취약점 분석 툴을 활용한 취약점 분석
- 1,2 단계에 의한 분석으로 미흡 판단 시 추가 취약점 탐지
• 웹 사이트 별 특성 파악
• 웹사이트 가용성 확보를 위한 상관관계 분석
• 취약성 점검 보고서 작성
• 모의해킹 보고서 작성
검증된 보안 프로세스
지속적인 보안 관리
III. Secure Library(Safecode) 적용
IV. 보안 관리
• Safecode 설치 : 웹 서버
• 실시간 불법침입 탐지 모니터링
• 취약점 보고서상 상위레벨 취약점에 해당하는 부분에 Safecode 호출하여 삽입
• 홈페이지 위.변조 모니터링
• 중위레벨 취약점은 침해가능성 여부 판단하여 추가 적용
• 가용성 문제 여부 테스트
• 모니터링 설치 (전용 서버, Win Server)
• Safecode 손실방지 (이상유무) 모니터링
• 주기적 취약점 분석 및 모의해킹 제공
• 취약점 분석 결과에 따른 추가 커스터마이징 제공
• 침해사고 대응
• 보안코딩 적용 보고서 ( 적용 전후 비교)
• 관리자 권고사항 및 운용방법 교육
Safecode™
2015-04-13
Webhack Monitoring
6
1-3. 구성도
Web Server
Safecode
Source
-Lib. 형태로
설치
-Web 소스에
삽입
SQL injection
Module
- 공격시 모듈호출
Log In
Monitoring
Server
게시판 1
(Module 상태 확인)
Upgrade/Patch
XSS
Module
Healthcare
File Upload
(최신 해킹 대응)
Module
불법 침입시도 탐지
File Download
게시판 2
홈페이지 변경 탐지
Module
Blind SQL
Q&A
자료실 1
Module
Outbound
Filter Module
2015-04-13
OS : Win Server 2008
Database : My SQL or MS SQL
CPU : PC Server 급
Memory : 2GB
HDD : 720GB 이상
Dashboard
* H/W 및 OS는 별도 입니다
Module
MASS SQL
Monitoring Server Spec,
Database
Log 전송
Log 파일
7
1-4. 적용 예
Safecode 모듈을 호출하여 Cross Site Scripting (Xss )취약점 제거하는 예제 입니다.
적용 후
적용 전
title = replace(title,"'","''")
content = replace(content,"'","''")
content = UploadForm("content")
admin_text = UploadForm("admin_text")
content = replace(content,"'","''")
45Line
admin_text = UploadForm("admin_text")
'코드원 보안코딩 08.06.05 이xx
45Line
Set safe = Server.CreateObject ("SafeCode.Code")
if admin_text = "" then
safe.setStr=title
admin_text = 0
end if
password = UploadForm("password")
password = replace(password,"'","''")
…………………………후략…………………………………
safe.doXssSafe() title =safe.getStr
safe.setStr=name
safe.doXssSafe() name=safe.getStr
safe.setStr=email
safe.doXssSafe() email=safe.getStr
safe.setStr=content
safe.doXssSafe() content=safe.getStr
'보안코딩 끝
if admin_text = "" then
…………………………후략…………………………………
2015-04-13
8
1-5. 모니터링
Safecode 모니터링 시스템
①
②
① 불법 침입 탐지
③
② 홈페이지 위 변조 탐지
③ 관리자 페이지(환경 설정)
2015-04-13
9
1-6. 지원 환경
ASP, JSP,
Web
PHP, dotNet,
Application
Windows
Ansi C, Action Script
Safecode
Linux, Unix
Tomcat, tMax, Wepsphere
IIS, WAS,
Weblogic, JBoss, Oracle, Jeus 등
APACHE
2015-04-13
10
1-7. 판매 형태
Secure Library + Monitoring + 보안서비스
Secure Library + Monitoring (준비 중)
2015-04-13
11
2015-04-13
Ⅱ.
Safecode와 취약점 분석 툴
Ⅲ.
구축 사례
Ⅳ.
보안관련 주요 지침 대비 Safecode
Meet to the compliance and market demand for Web Security
12
Ⅱ. Safecode와 취약점 분석 툴
Update Server
Internet
외부망에서
DMZ 구간
점검/접속
1) 취약점 DB Update
3) 점검 대상 장비의 정보 획득
(사이트 구성/ 웹 데몬 정보 등)
4) 획득 정보를 바탕으로
Web Service Server
기타 Web Server
내부망에서
취약점 점검 대상
점검/접속
DB
Server Zone
SCM, CRM, Group Ware
영업, 인사 등
기타 Web 기반 서버
Exploring 기능
탐지 시그니처 구성
WAS Server
DB(데이터베이스) Server
AppScan
(웹 취약점 분석)
Web 기반 Service Server
(Web Site)
Detection 기능
5) 점검대상의 취약점 점검
OS: Windows 계열
6) 점검결과물 및
2) 점검관리대상
보안 감사 보고서, 조치방안 가이드 라인
Safecode
(웹 취약점 제거 및 관리)
웹 취약점 제거
웹 위변조 탐지
8) 웹 변경
및
신규 해킹
보고서 관리/생성
및 평가
불법침입 탐지
제어
기능
지정 및 점검정책/
점검법칙 설정
7) 다중 분산 모니터링 (보안 관제)
보안담당자
제어
기능
웹 운영자 #1
웹 운영자 #2
웹 운영자 #3
2015-04-13
13
Ⅲ. 구축 사례
대구시
대구시 메인 홈페이지 및 산하관련 기관 및 부처 55개 홈페이지에 적용
KAIST
한국과학기술원 학사행정관련 모든 웹 어플리케이션 및 행정부처 모든 홈페이지 적용
방위사업청
대표 홈페이지 및 국방전자조달시스템에 적용
크라이스아이앤씨
대표 홈페이지, 결제 시스템 및 쇼핑몰 엔진에 적용
한국생명공학연구원
전국신용보증재단연합회
서울신용보증재단
경기신용보증재단
양산시
대구도시철도공사
2011사업단
휴니드테크놀러지즈
농수산물도매협회
수산도서관
대구 소방본부
KAIST서울경영대학원
한국원자력연구원
대구농업기술센터
발전재단
목포항만해운청진도표지소
과학영재교육연구원
축산물품질평가원
대구혁신도시지원단
120여 사이트에 적용되어 사용하고 있습니다…
2015-04-13
14
Ⅳ. 보안관련 주요 지침 대비 Safecode#1
순번
진단항목
전자정부
OWASP 10
국정원8대
cwe/sans25
기타
제거 방법
1
Cross Sit Scriptine 요청 참조 공격
○
○
○
○
safecode
2
SQL Injection 공격
○
○
○
○
safecode
3
악성 파일 실행
○
4
불안전한 직접객체 참조
○
○
○
safecode서비스
5
Cross Site 요청 참조
○
○
○
safecode
6
정보 유출 및 부적절한 오류처리
○
○
safecode서비스
7
취약한 인증 및 세션 관리
○
○
○
safecode서비스
8
불안전한 암호화 저장
○
○
○
db보안 솔루션
9
불안전한 통신
○
○
암호화 솔루션
10
URL 접근 제한 실패
○
○
safecode서비스
11
디렉터리 리스팅
○
12
부적절한 환경 설정
○
13
파일 다운로드
○
○
14
파일 업로드
○
○
15
백업파일 노출
○
○
safecode서비스
16
입력 값 검증 부재
○
○
safecode
safecode서비스
○
○
safecode서비스
○
safecode서비스
○
safecode
safecode
• Safecode : Secure Lib를 이용하여 제거, 모니터링 프로그램을 통하여 탐지
• Safecode서비스 : 고객 및 유지보수 업체와 협업을 통하여 제거
• 기타 : 솔루션 도입이나 Vendor사 보안 Patch 권고
2015-04-13
15
Ⅳ. 보안관련 주요 지침대비 Safecode#2
순번
진단항목
전자정부
OWASP 10
국정원8대
cwe/sans25
기타
제거 방법
17
쿠키 암호화
○
암호화 솔루션
18
취약한 접근 통제
○
19
서비스 거부 공격
○
20
버퍼 오버 플로우
○
21
가짜 엑티브 엑스 확인하기
○
safecode서비스
22
디맥스 웹 Appl. 서버(JEUS)취약점
○
patch
23
WebDAV 취약점
○
patch
24
테크노트(Technote)취약점
○
patch
25
제로보드(Zeroboard)취약점
○
patch
26
인증 우회
○
safecode서비스
27
경쟁 상태 (Race Condition)
○
safecode서비스
28
경로 조작
○
safecode
29
PHP File Inclusion
○
safecode
30
검증되지 않은 redirect와 forward
31
불법 침임시도 탐지
○
safecode
32
홈페이지 위변조 탐지
○
safecode
○
safecode서비스
DDos 장비
○
safecode
○
safecode서비스
• Safecode : Secure Lib를 이용하여 제거, 모니터링 프로그램을 통하여 탐지
• Safecode서비스 : 고객 및 유지보수 업체와 협업을 통하여 제거
• 기타 : 솔루션 도입이나 Vendor사 보안 Patch 권고
2015-04-13
16
Q&A
코드원과 함께 하는 웹 보안,
당신의 웹을 안전하게 지켜드립니다.
㈜ 코드원
경기도 고양시 덕양구 행신동 765 해동빌딩 6F
감사합니다.
전화: 031-970-4874
팩스: 031-970-4854
영업지원: [email protected]
기술지원: [email protected]
보안 연구소
대구광역시 동구 신천3동 123-1번지 농공빌딩 6F
전화: 031-974-0114
053-744-4823~4