Transcript Ⅱ. Safecode와 취약점 분석 툴

웹 애플리케이션 취약점 제거 및 관리 솔루션
Safecode® 3.0
: Web Application Vulnerability removal & management
㈜코드원
목차
Ⅰ. Safecode는?
Ⅱ. Safecode와 취약점분석 툴
Ⅲ. 구축 사례
Ⅳ. 보안관련 주요 지침 대비 Safecode
2015-04-13
2
Ⅰ.
Safecode는 ?
1.1. 기능 및 특징
1.2. 적용 절차
1.3. 구성도
1.4. 적용 예
1.5. 모니터링
1.6. 지원환경
1.7. 판매형태
2015-04-13
3
Ⅰ. Safecode는?
Safecode는 취약한 어플리케이션의 개선을 통한 웹 보안 솔루션으로 S/W(보안솔루션) 와 사람(보안
컨설팅)이 결합된 반(半)제품 형태의 솔루션 입니다.
* Gartner보고서에 의하면 Tool 에 의한 보안은 이루고자 하는 최대 목표의 48% 이상 이룰 수가 없습니다.
Software
사람
Secure Library
보안컨설턴트
보안 코딩시 필요한 보안
프로세스를 Compact Module화
Webhack Monitoring
보안개발자
Lib. 모니터링을 통한 불법침입
- 소스 취약점 진단 및
커스터마이징
- Secure Lib.와 보안코딩을 이용
하여 취약점 제거
탐지, 홈페이지 위변조 탐지
2015-04-13
Safecode
- 웹 어플리케이션 취약점 진단
- 모의해킹
- 전문 도구 활용(상용 도구)
4
1-1. 기능 및 특징
 Secure Lib. 와 보안코딩을 통하여 최소한의 프로그램 수정 만으로 웹 취약점 제거
 일관된 보안 프로세스의 유지, 업데이트 및 기능추가, 유지보수 등 용이
 비인가자 및 유지 보수 인력에 의한 보안 프로세스 훼손 방지
 웹 프로그래밍 언어의 특징에 최적화되게 모듈화 (JSP, JAVA, ASP, PHP, DOTNET)
 어플리케이션 전체의 비즈니스 로직과 보안 핵심프로세스 로직의 완전 분리 모듈화
 소스레벨의 Black List IP접근 제어
 불법침입 시도에 대한 해킹 발생 포인트 레벨에서 실시간 모니터링 기능 제공
 기간별, 공격유형별, ip별, site별 보고서 제공
 주기적 취약점을 통한 보안성 강화 구현
 침해사고시 대응
2015-04-13
5
1-2. 적용 절차
I.
1.
웹 취약점 분석 툴을 활용한 취약점 분석
- 보안설정 및 취약점 탐지
2.
보안 컨설턴트에 의한 모의 해킹
- 취약점 분석 툴로 점검하기 어려운 부분에 대한 취약점 탐지
3.
II. S/W 상관 관계 분석
취약점 분석
소스 취약점 분석 툴을 활용한 취약점 분석
- 1,2 단계에 의한 분석으로 미흡 판단 시 추가 취약점 탐지
• 웹 사이트 별 특성 파악
• 웹사이트 가용성 확보를 위한 상관관계 분석
• 취약성 점검 보고서 작성
• 모의해킹 보고서 작성
검증된 보안 프로세스
지속적인 보안 관리
III. Secure Library(Safecode) 적용
IV. 보안 관리
• Safecode 설치 : 웹 서버
• 실시간 불법침입 탐지 모니터링
• 취약점 보고서상 상위레벨 취약점에 해당하는 부분에 Safecode 호출하여 삽입
• 홈페이지 위.변조 모니터링
• 중위레벨 취약점은 침해가능성 여부 판단하여 추가 적용
• 가용성 문제 여부 테스트
• 모니터링 설치 (전용 서버, Win Server)
• Safecode 손실방지 (이상유무) 모니터링
• 주기적 취약점 분석 및 모의해킹 제공
• 취약점 분석 결과에 따른 추가 커스터마이징 제공
• 침해사고 대응
• 보안코딩 적용 보고서 ( 적용 전후 비교)
• 관리자 권고사항 및 운용방법 교육
Safecode™
2015-04-13
Webhack Monitoring
6
1-3. 구성도
Web Server
Safecode
Source
-Lib. 형태로
설치
-Web 소스에
삽입
SQL injection
Module
- 공격시 모듈호출
Log In
Monitoring
Server
게시판 1
(Module 상태 확인)
Upgrade/Patch
XSS
Module
Healthcare
File Upload
(최신 해킹 대응)
Module
불법 침입시도 탐지
File Download
게시판 2
홈페이지 변경 탐지
Module
Blind SQL
Q&A
자료실 1
Module
Outbound
Filter Module
2015-04-13
OS : Win Server 2008
Database : My SQL or MS SQL
CPU : PC Server 급
Memory : 2GB
HDD : 720GB 이상
Dashboard
* H/W 및 OS는 별도 입니다
Module
MASS SQL
Monitoring Server Spec,
Database
Log 전송
Log 파일
7
1-4. 적용 예
Safecode 모듈을 호출하여 Cross Site Scripting (Xss )취약점 제거하는 예제 입니다.
적용 후
적용 전
title = replace(title,"'","''")
content = replace(content,"'","''")
content = UploadForm("content")
admin_text = UploadForm("admin_text")
content = replace(content,"'","''")
45Line
admin_text = UploadForm("admin_text")
'코드원 보안코딩 08.06.05 이xx
45Line
Set safe = Server.CreateObject ("SafeCode.Code")
if admin_text = "" then
safe.setStr=title
admin_text = 0
end if
password = UploadForm("password")
password = replace(password,"'","''")
…………………………후략…………………………………
safe.doXssSafe() title =safe.getStr
safe.setStr=name
safe.doXssSafe() name=safe.getStr
safe.setStr=email
safe.doXssSafe() email=safe.getStr
safe.setStr=content
safe.doXssSafe() content=safe.getStr
'보안코딩 끝
if admin_text = "" then
…………………………후략…………………………………
2015-04-13
8
1-5. 모니터링
Safecode 모니터링 시스템
①
②
① 불법 침입 탐지
③
② 홈페이지 위 변조 탐지
③ 관리자 페이지(환경 설정)
2015-04-13
9
1-6. 지원 환경
ASP, JSP,
Web
PHP, dotNet,
Application
Windows
Ansi C, Action Script
Safecode
Linux, Unix
Tomcat, tMax, Wepsphere
IIS, WAS,
Weblogic, JBoss, Oracle, Jeus 등
APACHE
2015-04-13
10
1-7. 판매 형태
Secure Library + Monitoring + 보안서비스
Secure Library + Monitoring (준비 중)
2015-04-13
11
2015-04-13
Ⅱ.
Safecode와 취약점 분석 툴
Ⅲ.
구축 사례
Ⅳ.
보안관련 주요 지침 대비 Safecode
Meet to the compliance and market demand for Web Security
12
Ⅱ. Safecode와 취약점 분석 툴
Update Server
Internet
외부망에서
DMZ 구간
점검/접속
1) 취약점 DB Update
3) 점검 대상 장비의 정보 획득
(사이트 구성/ 웹 데몬 정보 등)
4) 획득 정보를 바탕으로
Web Service Server
기타 Web Server
내부망에서
취약점 점검 대상
점검/접속
DB
Server Zone
SCM, CRM, Group Ware
영업, 인사 등
기타 Web 기반 서버
Exploring 기능
탐지 시그니처 구성
WAS Server
DB(데이터베이스) Server
AppScan
(웹 취약점 분석)
Web 기반 Service Server
(Web Site)
Detection 기능
5) 점검대상의 취약점 점검
OS: Windows 계열
6) 점검결과물 및
2) 점검관리대상
보안 감사 보고서, 조치방안 가이드 라인
Safecode
(웹 취약점 제거 및 관리)
웹 취약점 제거
웹 위변조 탐지
8) 웹 변경
및
신규 해킹
보고서 관리/생성
및 평가
불법침입 탐지
제어
기능
지정 및 점검정책/
점검법칙 설정
7) 다중 분산 모니터링 (보안 관제)
보안담당자
제어
기능
웹 운영자 #1
웹 운영자 #2
웹 운영자 #3
2015-04-13
13
Ⅲ. 구축 사례
대구시
대구시 메인 홈페이지 및 산하관련 기관 및 부처 55개 홈페이지에 적용
KAIST
한국과학기술원 학사행정관련 모든 웹 어플리케이션 및 행정부처 모든 홈페이지 적용
방위사업청
대표 홈페이지 및 국방전자조달시스템에 적용
크라이스아이앤씨
대표 홈페이지, 결제 시스템 및 쇼핑몰 엔진에 적용
한국생명공학연구원
전국신용보증재단연합회
서울신용보증재단
경기신용보증재단
양산시
대구도시철도공사
2011사업단
휴니드테크놀러지즈
농수산물도매협회
수산도서관
대구 소방본부
KAIST서울경영대학원
한국원자력연구원
대구농업기술센터
발전재단
목포항만해운청진도표지소
과학영재교육연구원
축산물품질평가원
대구혁신도시지원단
120여 사이트에 적용되어 사용하고 있습니다…
2015-04-13
14
Ⅳ. 보안관련 주요 지침 대비 Safecode#1
순번
진단항목
전자정부
OWASP 10
국정원8대
cwe/sans25
기타
제거 방법
1
Cross Sit Scriptine 요청 참조 공격
○
○
○
○
safecode
2
SQL Injection 공격
○
○
○
○
safecode
3
악성 파일 실행
○
4
불안전한 직접객체 참조
○
○
○
safecode서비스
5
Cross Site 요청 참조
○
○
○
safecode
6
정보 유출 및 부적절한 오류처리
○
○
safecode서비스
7
취약한 인증 및 세션 관리
○
○
○
safecode서비스
8
불안전한 암호화 저장
○
○
○
db보안 솔루션
9
불안전한 통신
○
○
암호화 솔루션
10
URL 접근 제한 실패
○
○
safecode서비스
11
디렉터리 리스팅
○
12
부적절한 환경 설정
○
13
파일 다운로드
○
○
14
파일 업로드
○
○
15
백업파일 노출
○
○
safecode서비스
16
입력 값 검증 부재
○
○
safecode
safecode서비스
○
○
safecode서비스
○
safecode서비스
○
safecode
safecode
• Safecode : Secure Lib를 이용하여 제거, 모니터링 프로그램을 통하여 탐지
• Safecode서비스 : 고객 및 유지보수 업체와 협업을 통하여 제거
• 기타 : 솔루션 도입이나 Vendor사 보안 Patch 권고
2015-04-13
15
Ⅳ. 보안관련 주요 지침대비 Safecode#2
순번
진단항목
전자정부
OWASP 10
국정원8대
cwe/sans25
기타
제거 방법
17
쿠키 암호화
○
암호화 솔루션
18
취약한 접근 통제
○
19
서비스 거부 공격
○
20
버퍼 오버 플로우
○
21
가짜 엑티브 엑스 확인하기
○
safecode서비스
22
디맥스 웹 Appl. 서버(JEUS)취약점
○
patch
23
WebDAV 취약점
○
patch
24
테크노트(Technote)취약점
○
patch
25
제로보드(Zeroboard)취약점
○
patch
26
인증 우회
○
safecode서비스
27
경쟁 상태 (Race Condition)
○
safecode서비스
28
경로 조작
○
safecode
29
PHP File Inclusion
○
safecode
30
검증되지 않은 redirect와 forward
31
불법 침임시도 탐지
○
safecode
32
홈페이지 위변조 탐지
○
safecode
○
safecode서비스
DDos 장비
○
safecode
○
safecode서비스
• Safecode : Secure Lib를 이용하여 제거, 모니터링 프로그램을 통하여 탐지
• Safecode서비스 : 고객 및 유지보수 업체와 협업을 통하여 제거
• 기타 : 솔루션 도입이나 Vendor사 보안 Patch 권고
2015-04-13
16
Q&A
코드원과 함께 하는 웹 보안,
당신의 웹을 안전하게 지켜드립니다.
㈜ 코드원
경기도 고양시 덕양구 행신동 765 해동빌딩 6F
감사합니다.
전화: 031-970-4874
팩스: 031-970-4854
영업지원: [email protected]
기술지원: [email protected]
보안 연구소
대구광역시 동구 신천3동 123-1번지 농공빌딩 6F
전화: 031-974-0114
053-744-4823~4