Home > Àüü±â»ç

[½ÃÅ¥¸®Æ¼ Q&A] ¸ð¹ÙÀÏ À¥ °³¹ß½Ã º¸¾È°í·Á»çÇ×

ÀÔ·Â : 2014-12-05 09:54
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

Q. ½º¸¶Æ®ÆùÀÇ µîÀåÀ¸·Î ¸ð¹ÙÀÏ À¥ÆäÀÌÁö´Â ¼±ÅÃÀÌ ¾Æ´Ñ Çʼö°¡ µÇ¾ú½À´Ï´Ù. ÇÏÁö¸¸ µ¥½ºÅ©Åé¿¡ ´ëÇÑ À¥ÆäÀÌÁö º¸¾ÈÀº °­·ÂÇϳª ¸ð¹ÙÀÏ À¥ÆäÀÌÁö´Â ¾ÆÁ÷µµ Ãë¾àÁ¡À» ¸¹ÀÌ ³ëÃâÇÏ°í ÀÖ½À´Ï´Ù. ¸ð¹ÙÀÏ À¥ ÆäÀÌÁö °³¹ß ½Ã ¹Ýµå½Ã Âü°íÇØ¾ß ÇÏ´Â ÆÁÀÌ ÀÖ´Ù¸é ¼Ò°³ÇØ ÁÖ¼¼¿ä.


A-1. OWASP(Open WebApplication Security Project)¿¡¼­´Â À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È À§Çè°ú °ü·ÃµÈ À§Çù, °ø°Ý, Ãë¾àÁ¡, º¸¾È°ü¸®, ±â¼úÀûÀÎ ¿µÇâ, ºñÁî´Ï½º¿¡ ¹ÌÄ¡´Â ¿µÇâÀ» ¼¼ºÐÈ­ÇØ Æò°¡ÇÏ°í, ÀÌÁß ÃÖ»óÀ§ À§Çè 10°¡Áö¸¦ ¼±Á¤ÇØ OWASP TOP 10À» ¹ßÇ¥Çß½À´Ï´Ù.

¸ð¹ÙÀÏ¿ë À¥»çÀÌÆ®´Â Á¦ÇÑÀû ±â´ÉÀ» °¡Áø ¸ð¹ÙÀÏ¿ë À¥ºê¶ó¿ìÀú¸¦ ÅëÇØ ÀÌ¿ëÇØ¾ß ÇÕ´Ï´Ù. ±×·¯³ª ¸ð¹ÙÀÏ¿ë À¥»çÀÌÆ®¶ó°í Çؼ­ ÇØÄ¿°¡ ¸ð¹ÙÀÏ ´Ü¸»±â ȯ°æ¿¡¼­ °ø°ÝÀ» ½ÃµµÇÏÁö´Â ¾ÊÀ» °ÍÀÔ´Ï´Ù.

°ø°ÝÀÚ´Â ±âÁ¸¿¡ Áñ°Ü »ç¿ëÇÏ´Â ÆÄ¿öÇ®ÇÑ ÇØÅ· Åø°ú À¯¿ëÇÑ °ø°Ý±â¹ýµéÀ» ÀÌ¿ëÇÏ¿© ¸ð¹ÙÀÏ¿ë À¥»çÀÌÆ®ÀÇ Ãë¾àÁ¡À» ¹ß°ßÇÏ°í °ø°ÝÀ» ½ÃµµÇÏ°Ô µË´Ï´Ù. ¸ð¹ÙÀÏ¿ë À¥»çÀÌÆ®°¡ ÀüÅëÀûÀÎ À¥»çÀÌÆ®ÀÇ ±¸Á¶¿Í ±â¼úÀ» °è½ÂÇÏ¿© ±¸ÃàµÆ±â ¶§¹®¿¡ OWASPÀÇ 10´ë º¸¾È À§Çè¿¡ ´ëÇÑ Á¡°ËÀÌ ÇÊ¿äÇÕ´Ï´Ù.

»ðÀÔ°ø°ÝÀº ¸ð¹ÙÀÏ ±â±â·ÎºÎÅÍ Àü´ÞµÇ´Â ÆĶó¹ÌÅÍ¿¡ ½Ã½ºÅÛ ¸í·ÉÀ̳ª Á¶ÀÛµÈ Äõ¸®¸¦ »ðÀÔÇÏ°Ô µÇ´Âµ¥ ÀÌ·¸°Ô ÆĶó¹ÌÅÍ·Î Àü´ÞµÈ µ¥ÀÌÅÍ¿¡ ´ëÇÑ Æ¯¼ö¹®ÀÚ Á¦°Å, È­ÀÌÆ® ¸®½ºÆ® ÀÔ·Â °ËÁõ µîÀ» Çʼö·Î ¼öÇàÇØ¾ß ÇÕ´Ï´Ù. XSS¸¦ ¹æÁöÇϱâ À§ÇØ »ç¿ëÀÚÀÇ ÀÔ·ÂÀ» ÅؽºÆ®·Î Ãë±ÞÇÏ¿© ű׳ª ÀÚ¹Ù½ºÅ©¸³Æ® ÄÚµå µîÀ» Á¦°ÅÇÕ´Ï´Ù.


ÀÎÄÚµùµÈ ÀÔ·ÂÀº µðÄÚµùÇÏ¿© ±æÀÌ, ¹®ÀÚ, Æ÷¸Ë, µ¥ÀÌÅÍ µîÀ» °ËÁõÇØ¾ß ÇÕ´Ï´Ù. Ajax µîÀÇ À¥2.0 ±â¼úÀÇ È°¿ëÀ¸·Î ÀÚµ¿ °ËÁõ ¹× ¹æÁö°¡ ¾î·Á¿î »óȲÀÔ´Ï´Ù.

¸ð¹ÙÀÏ ±â±â°¡ ¾ÈÀüÇÏÁö ¾ÊÀº °ø°³ AP¸¦ ÅëÇØ À¥»çÀÌÆ®¿¡ Á¢¼ÓÇÏ°Ô µÉ °æ¿ì °èÁ¤, Æнº¿öµå, ¼¼¼ÇID µîÀÌ ³ëÃâµÉ À§Çè¿¡ ³õÀÌ°Ô µË´Ï´Ù. ¹«¼± ȯ°æ¿¡¼­ ½±°Ô ÆÐŶ ½º´ÏÇÎÀÌ °¡´ÉÇÔÀ¸·Î SSL/TLS Á¢¼ÓÀ» ÅëÇØ Æнº¿öµå, ¼¼¼ÇID, ±âŸ ½Äº°Á¤º¸°ú Àü¼ÛµÇµµ·Ï ÇØ¾ß ÇÕ´Ï´Ù. CSRF °ø°ÝÀ» ¹æÁöÇϱâ À§Çؼ­´Â »ç¿ëÀÚÀÇ ¸ðµç ¿äûÀÌ °ø°ÝÀÚ¿¡ ÀÇÇØ ½±°Ô À§Á¶µÉ ¼ö ÀÖ´Ù°í °¡Á¤ÇØ¾ß ÇÕ´Ï´Ù.

¼¼¼Ç, ÄíÅ°, ¼Ò½ºIP µîÀÇ Á¤º¸°¡ À§Á¶µÈ ¿äû¿¡ Æ÷ÇԵDZ⠶§¹®¿¡ ÀÌ·¯ÇÑ ÀÎÁõ Á¤º¸·Î ¿äûÀ» ½Å·ÚÇÒ ¼ö ¾ø½À´Ï´Ù.

°¢ ¿äûÀÇ ½Å·Ú¼ºÀ» È®ÀÎÇϱâ À§Çؼ­´Â ¿äûº° °íÀ¯ÇÑ ÅäÅ«À» ºÎ¿©ÇØ¾ß ÇÏ°í, °¢ °ø°Ý¿¡ ´ëÇÑ °ËÅä¿Í ¹æ¾îü°è¸¦ ±¸ÃàÇÏ´Â °ÍÀÌ ÇÊ¿äÇÏÁö¸¸ ±âÁ¸ À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ º¸¾ÈÀ» Ãß°¡ÇÏ´Â °Íº¸´Ù ¸ð¹ÙÀÏ¿ë À¥»çÀÌÆ® °³¹ß ¹× ±¸Ãà ´Ü°è¿¡¼­ º¸¾ÈÀ» ¼³°èÇÏ´Â °ÍÀÌ ºñ¿ë Ãø¸é¿¡¼­ È¿À²ÀûÀÔ´Ï´Ù. ¶ÇÇÑ, »çÀÌÆ®ÀÇ º¯°æ¿¡ µû¸¥ Áö¼ÓÀûÀÎ ÄÚµå ¸®ºä¿Í ÀÚµ¿È­ ÅøÀ» ÀÌ¿ëÇÑ °ËÁõ ³ë·ÂÀÌ ÇÊ¿äÇÕ´Ï´Ù.

(ÇãÁø¼º Çѱ¹»ê¾÷±â¼úº¸È£Çùȸ °üÁ¦¿î¿µÆÀ ¿¬±¸¿ø/iqsecurity@kaits.or.kr)

[±èÁö¾ð ±âÀÚ(boan4@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)