6-b-090114-한국IT전문학교_정보보안컨설팅제안서
Download
Report
Transcript 6-b-090114-한국IT전문학교_정보보안컨설팅제안서
LOGO
중소기업체 대상 무료
정보보안컨설팅 제안서
Click To Edit Title Style목
차
LOGO
해킹 피해 사례
제안의 개요 및 목적
보안컨설팅 수행 절차
기대효과
조직도 및 연락처
한국IT전문학교
Click To Edit Title 해킹
Style
피해 사례
LOGO
Google 검색을 이용한 관리자 페이지 노출
site:co.kr intitle:”관리자”
한국IT전문학교
Click To Edit Title 해킹
Style
피해 사례
LOGO
해킹 피해 언론보도
한국IT전문학교
Click To Edit Title 해킹
Style
피해 사례
LOGO
중국 사이트의 개인정보 유출
한국IT전문학교
Click To Edit Title 해킹
Style
피해 사례
LOGO
해킹 피해의 변천사
▪ Gartner Group : 전체 공격의 75%가 웹 어플리케이션 공격.
▪ NSHC : 웹 사이트 91% 보안 취약.(2008. 9. 5))
높음
웹취약점공격
봇넷공격
(
홈페이지변조
공
격
기
법
의
난
이
도
분산서비스거부공격
백도어
자동스캔공격
서비스 거부 공격
)
패스워드 크랙
스니핑
낮음
패스워드 추측
1990년
1995년
2000년
2005년
(년도)
한국IT전문학교
제안의
Click To Edit Title
Style
개요 및 목적
LOGO
중소기업의 정보보호 취약 요인
정보보호에 대한 인식 부족
정보보호 인력의 부족
보안 컨설팅 비용 문제
해킹 피해의 빈번한 발생
보안 컨설팅 절차의 문제
▪ 기업 이미지 손상
▪ 유출된 정보로 인한 피해 확산
한국IT전문학교
제안의
Click To Edit Title
Style
개요 및 목적
LOGO
제안의 개요 및 목적
한국IT전문학교
중소기업체
▪ 안전한 시스템의 운영
▪ 보안업체 출신의 교수진
▪ 보안 전공 학생들로 이루어진 교내 보안팀
▪ 학교 연구 성과물
▪ 본교와 교류를 맺은 정보보호 전문 업체
무료
▪ 기업 신뢰도 향상
보안
▪ 비용 절감
컨설팅
▪ 지속적인 보안 서비스
▪ 산학 협력을 통한 지속적인
관계 유지
한국IT전문학교
보안컨설팅
Click To Edit Title
Style
수행 절차
LOGO
보안 컨설팅 수행 절차
1. 신청 접수
▪ 이메일 · 전화 · 방문 등을 통해 기업체에서 학교로 보안컨설팅 요청.
2. 대상 업체 선정
▪ 보안 컨설팅 인력들과의 협의를 통한 보안컨설팅 대상 업체 선정.
▪ 업체 선정 결과에 대해 알림.
3. 선정 여부 알림
▪ 방문 일정 조율.
▪ 신청 서류 작성.
4. 업체 방문
▪ 취약점 진단 대상 범위 및 일정에 대한 조율.
5. 취약점 진단
▪ 해당 범위에 대한 취약점 진단 및 보고서 작성.
6. 진단 결과 전달
▪ 진단결과보고서 전달 및 보안 조치 사항 설명.
7. 산학 협력
▪ 산학 협력을 통한 지속적인 관계 유지.
한국IT전문학교
보안컨설팅
Click To Edit Title
Style
수행 절차
LOGO
취약점 진단 범위
▪ OWASP TOP 10 취약점을 중심으로 한 웹 취약점 분석과 관련 시스템의 취약점 진단.
▪ 웹 서비스 운용과 관련된 웹 어플리케이션 / 시스템 / 데이터베이스 등의 진단 병행 수행.
OWASP TOP 10 취약점
▪ OWASP는 매년 가장 심각한 10대 웹 어플리케이션 보안 취약점을 문서화하여 배포하고 있다.
순번
취약점
순번
취약점
A1
크로스 사이트 스크립팅
A6
정보 유출 및 부적절한 에러 처리
A2
인젝션 취약점
A7
취약한 인증 및 세션 관리
A3
악성 파일 삽입
A8
불안전한 암호화 저장
A4
불안전한 객체 참조
A9
불안전한 통신
A5
크로스 사이트 요청 변조
A10
URL 접속 제한 실패
한국IT전문학교
보안컨설팅
Click To Edit Title
Style
수행 절차
LOGO
취약점 상세 진단 항목
▪ SQL Injection 취약점
▪ 파일 업로드 취약점
▪ 파일 다운로드 취약점
▪ XSS 취약점
▪ 부적절한 에러 노출 취약점
▪ 디렉토리 인덱싱 취약점
▪ 관리자 페이지 접근 취약점
▪ 쿠키 스니핑/변조 취약점
▪ 히든 필드 취약점
▪ 파라미터 조작 취약점
▪ 패스워드 추측 취약점
▪ 백업 파일 취약점
▪ 중요 정보 노출 취약점
▪ 서버 환경 설정 취약점
- 2008년 9월 5일 (전자신문) -
한국IT전문학교
보안컨설팅
Click To Edit Title
Style
수행 절차
LOGO
취약점 진단 보고서 작성 예시(1)
▪ XSS(Cross Site Scripting)
공지사항 게시판에 스크립트를 사용 할 수 있는 기능이 있어 악성 스크립트를 삽입한 게시물
작성이 가능하다. XSS 취약점은 사용자 세션을 획득하여 권한 도용이 가능한 취약점이나,
악성코드를 배포 시킬 수도 있어 위험도가 높은 취약점이다.
[그림 X-X] 스크립트를 삽입한 게시물 작성
한국IT전문학교
보안컨설팅
Click To Edit Title
Style
수행 절차
LOGO
취약점 진단 보고서 작성 예시(2)
▪ XSS(Cross Site Scripting)
취약한 프로그래밍의 예 (ASP)
<%
Set objDBConn = Server.CreateObject
("ADODB.Connection") ' 게시물 읽기
Set objRs = Server.CreateObject("ADODB.RecordSet")
objDBConn.Open "board", "user", "passwd"
query = "SELECT id, name, memo FROM board_tbl
WHERE id=1"
objRs.Open query, objDBConn
memo = objRs("memo")
Response.write "게시물 내용-" & memo & "<BR>“
' DB에서 게시판의 내용 출력
안전한 프로그래밍의 예 (ASP)
If use_html Then
' HTML tag를 사용하게 할 경우 부분 허용
memo = Server.HTMLEncode(memo)
' HTML tag를 모두 제거
' 허용할 HTML tag만 변경
memo = replace(memo, "<p>", "<p>")
memo = replace(memo, "<P>", "<P>")
memo = replace(memo, "<br>", "<br>")
memo = replace(memo, "<BR>", "<BR>")
Else ' HTML tag를 사용하지 못하게 할 경우
memo = Server.HTMLEncode(memo)
' HTML encoding 수행
memo = replace(memo, "<", "<")
memo = replace(memo, ">", ">")
End If
Response.write "게시물 내용-" & memo & "<BR>"
한국IT전문학교
기대
Click To Edit Title Style
효과
LOGO
기대 효과
기업의 신뢰도 향상 및 발전
사회 전반의 보안 인식 향상
학교 연구 성과의 사회 기여
산학협력을 통한 기업과 학교의 발전 도모
한국IT전문학교
Click To Edit Title조직도
Style
및 연락처
LOGO
수행 조직도
IT학부장
조 성 규 교수
IT학부 교수진
외부 보안 인력
보안업체 출신 교수진
본교 교류 보안 업체
본교 재학생
교내 모의해킹팀
한국IT전문학교
Click To Edit Title조직도
Style
및 연락처
LOGO
본교 위치 및 연락처
▪ 대표전화 : 02-578-5551
▪팩
스 : 02-578-9866
▪ 학교주소 : (우)137-130 서울시 서초구 양재동 145-5번지 (재)한국IT직업전문학교
▪ 조성규 학부장 : 02-578-5551(내선 700) / [email protected]
한국IT전문학교
Click To Edit Title Style
LOGO
감사합니다.
한국IT전문학교