웹 해킹의 정의 및 종류
웹 해킹
•
웹 서비스를 대상으로 발생하는 해킹
•
웹 사이트 취약점을 이용하여 권한이 없는 시스템에 접근하거나 데이터 유출 또는 파괴하는 행위
종류
•
웹 엔진을 이용한 해킹
◦
Apache, IIS 취약점 등
•
웹 서버 및 미들웨어를 이용한 해킹
◦
OS, JEUS, WebLogic, WebSphere, 취약점 등
•
주로 웹 애플리케이션을 이용한 해킹
◦
SQL Injection, XSS, 파일 업로드/다운로드 취약점
웹 취약점 진단
웹 페이지 취약점 점검
•
전문 인력을 활용한 수동점검
◦
전반적인 웹 페이지의 취약성 분석
◦
정형화되지 않은 취약점까지 모두 분석 가능
◦
점검 인력의 기술 수준에 따라 결과물 수준이 달라질 가능성 존재
•
공개 점검 도구(스캐닝 도구) 활용
◦
기본적인 보안 정보 수집 및 정형화(일반화)된 취약성 분석
◦
수동점검에 비해 상대적으로 시간, 인력, 비용이 절감되어 주기적인 점검에 도움
◦
응용된 웹 취약성을 발견 못함, 오탐으로 인한 낮은 신뢰성
웹 서비스 보안 대상
네트워크
•
방화벽(침입차단시스템)
◦
L4수준에서 서비스 노출 최소화
◦
외부로부터의 접근 최소화(IP와 Port 기반의 접근제어)
•
침입탐지/침입방지 시스템 (IDS/IPS)
◦
이미 알려진 취약점 패턴을 가진 웹 해킹 위협에 대해 탐지 및 차단 가능
•
웹 애플리케이션 방화벽 (WAF)
◦
L7수준에서 웹 서비스로 전달되는 모든 인자 값과 세션을 점검
◦
악의적인 요청이 웹 서비스 측에 전달되지 못하도록 차단
웹 인프라
•
보안패치
◦
OS, Web Server, WAS, DBMS에 대해 신규 취약점 존재 여부 확인하고, 벤더사에서 신규 보안패치 적용
◦
보안설정
•
웹 애플리케이션
◦
개발보안
▪
개발하는 단계에서 보안 위협 파악 및 이를 통제하여 안전한 웹 페이지 개발
◦
웹 소스 취약점 진단
▪
웹 소스 파일을 대상으로 웹 애플리케이션 보안 취약점을 점검 및 대응방안 도출
•
정보
◦
암호화
▪
중요 정보는 국내 및 국제 표준 암호 알고리즘을 이용하여 암호화
웹 취약점 진단과 모의 해킹
•
웹 취약점 진단
◦
보안 체크리스트를 바탕으로 해당 웹 인프라에 대한 보안 취약점을 점검하고 대응방안 도출
•
모의 해킹
◦
기술적인 면과 비즈니스 로직 등 다양한 분야를 이용하여 웹 페이지의 취약점을 종합적으로 도출하여 점검하고 대응방안 마련
OWASP (Open Web Application Security Project)
•
국제 웹 보안 표준 기구
•
웹 보안 가이드, 점검 리스트 등의 문서 자료와 보안 툴을 개발하여 무료 제공하는 오픈 프로젝트 그룹
OWASP TOP 10
