고정 헤더 영역
상세 컨텐츠
본문
웹 애플리케이션 해킹은 전체 해킹 시도 중 70% 이상을 차지하기 때문에 웹 보안이 필수인 상황이다.
공격 유형
웹기반 공격 유형에는 2가지가 있다.
- 1차 해킹 : 웹서버의 취약점을 공격하거나 관리자 계정을 확보하여 내부 시스템에 악성코드 심음
- 2차 해킹 : 감염된 내부 PC를 이용하여 내부 Db 서버나 업무 서버의 중요 정보를 유출
보안 정책
1.네트워크 보안
방화벽과 IDS/IPS 장비들을 이용하여 안전한 트래픽만 내부로 유입될 수 있게 제어한다.
- 네트워크 방화벽 : 사전에 관리자가 설정해 놓은 IP주소, 포트 번호 기반의 접근제어목록(ACL) 규칙에 따라 허용 또는 차단 기능 수행
- IDS (Intrusion Detection System) : 취약한 서비스에 대한 네트워크 공격과 애플리케이션에서의 데이터 처리 공격, 권한 상승 및 침입자 로그인, 침입자에 의한 주요 파일 접근, 악성 소프트웨어와 같은 호스트 기반 공격 발생 시 이벤트 발생시키고, db에 기록하거나, 경고 기능 수행
- IPS (Intrusion Prevention System) : IDS와 유사하게 동작하지만 보다 능동적으로 허용되지 않은 사용자나 서비스에 대해 사용을 거부하여 내부자원을 보호하는 기능 수행
BUT, IDS/IPS의 유해성 검사는 애플리케이션 계층에 대한 이해가 없이 이루어지기 때문에 애플리케이션 취약점을 노린 공격에 대해서는 방어가 불가능하다.
보안 취약점
- 정보 제공 : CWE List, SANS Top 25, CVE List, CERT 시큐어 코딩 표준, OWASP Top 10
소프트웨어 개발보안 방법론
안전한 애플리케이션의 개발, 운영, 유지를 위해 SDL(Software Development LifeCycle) 단계별 보안 조치를 적용하는 보안이 강화된 소프트웨어를 개발하기 위한 방법론이다.
시큐어 코딩의 기본 3대 원칙
- No Error : 에러 무발생
- No Exposure : 데이터 노출 X
- No Dummy : 불필요한 기능이 동작 X
MS-SDL
MS 사에서 개발한 보안취약점을 제거하는 데 효과적인 소프트웨어 개발 보안 방법이다.
댓글 영역