Download presentation
Presentation is loading. Please wait.
1
LOGO 중소기업체 대상 무료 정보보안컨설팅 제안서
2
LOGOClick To Edit Title Style 목 차 한국 IT 전문학교 해킹 피해 사례 제안의 개요 및 목적 보안컨설팅 수행 절차 기대효과 조직도 및 연락처
3
LOGOClick To Edit Title Style 해킹 피해 사례 site:co.kr intitle:” 관리자 ” Google 검색을 이용한 관리자 페이지 노출 한국 IT 전문학교
4
LOGOClick To Edit Title Style 해킹 피해 언론보도 해킹 피해 사례 한국 IT 전문학교
5
LOGOClick To Edit Title Style 해킹 피해 사례 중국 사이트의 개인정보 유출 한국 IT 전문학교
6
LOGOClick To Edit Title Style 해킹 피해 사례 1990 년 1995 년 2000 년 2005 년 ( 년도 ) 낮음 높음 패스워드 추측 스니핑 패스워드 크랙 서비스 거부 공격 자동스캔공격 백도어 분산서비스거부공격 홈페이지변조 봇넷공격 웹취약점공격 해킹 피해의 변천사 ▪ Gartner Group : 전체 공격의 75% 가 웹 어플리케이션 공격. ▪ NSHC : 웹 사이트 91% 보안 취약.(2008. 9. 5)) 한국 IT 전문학교
7
LOGOClick To Edit Title Style 제안의 개요 및 목적 중소기업의 정보보호 취약 요인 정보보호에 대한 인식 부족 정보보호 인력의 부족 보안 컨설팅 비용 문제 보안 컨설팅 절차의 문제 해킹 피해의 빈번한 발생 ▪ 기업 이미지 손상 ▪ 유출된 정보로 인한 피해 확산 ▪ 기업 이미지 손상 ▪ 유출된 정보로 인한 피해 확산 한국 IT 전문학교
8
LOGOClick To Edit Title Style 제안의 개요 및 목적 한국 IT 전문학교 ▪ 보안업체 출신의 교수진 ▪ 보안 전공 학생들로 이루어진 교내 보안팀 ▪ 학교 연구 성과물 ▪ 본교와 교류를 맺은 정보보호 전문 업체 ▪ 보안업체 출신의 교수진 ▪ 보안 전공 학생들로 이루어진 교내 보안팀 ▪ 학교 연구 성과물 ▪ 본교와 교류를 맺은 정보보호 전문 업체 중소기업체 ▪ 안전한 시스템의 운영 ▪ 기업 신뢰도 향상 ▪ 비용 절감 ▪ 지속적인 보안 서비스 ▪ 산학 협력을 통한 지속적인 관계 유지 ▪ 안전한 시스템의 운영 ▪ 기업 신뢰도 향상 ▪ 비용 절감 ▪ 지속적인 보안 서비스 ▪ 산학 협력을 통한 지속적인 관계 유지 무료 보안 컨설 팅 한국 IT 전문학교
9
LOGOClick To Edit Title Style 보안컨설팅 수행 절차 ▪ 이메일 · 전화 · 방문 등을 통해 기업체에서 학교로 보안컨설팅 요청. 1. 신청 접수 ▪ 보안 컨설팅 인력들과의 협의를 통한 보안컨설팅 대상 업체 선정. 2. 대상 업체 선정 ▪ 업체 선정 결과에 대해 알림. ▪ 방문 일정 조율. ▪ 신청 서류 작성. ▪ 업체 선정 결과에 대해 알림. ▪ 방문 일정 조율. ▪ 신청 서류 작성. 3. 선정 여부 알림 ▪ 취약점 진단 대상 범위 및 일정에 대한 조율. 4. 업체 방문 ▪ 해당 범위에 대한 취약점 진단 및 보고서 작성. 5. 취약점 진단 ▪ 진단결과보고서 전달 및 보안 조치 사항 설명. 6. 진단 결과 전달 ▪ 산학 협력을 통한 지속적인 관계 유지. 7. 산학 협력 한국 IT 전문학교
10
LOGOClick To Edit Title Style 보안컨설팅 수행 절차 취약점 진단 범위 ▪ OWASP TOP 10 취약점을 중심으로 한 웹 취약점 분석과 관련 시스템의 취약점 진단. ▪ 웹 서비스 운용과 관련된 웹 어플리케이션 / 시스템 / 데이터베이스 등의 진단 병행 수행. OWASP TOP 10 취약점 ▪ OWASP 는 매년 가장 심각한 10 대 웹 어플리케이션 보안 취약점을 문서화하여 배포하고 있 다. 순번취약점순번취약점 A1 크로스 사이트 스크립팅 A6 정보 유출 및 부적절한 에러 처리 A2 인젝션 취약점 A7 취약한 인증 및 세션 관리 A3 악성 파일 삽입 A8 불안전한 암호화 저장 A4 불안전한 객체 참조 A9 불안전한 통신 A5 크로스 사이트 요청 변조 A10 URL 접속 제한 실패 한국 IT 전문학교
11
LOGOClick To Edit Title Style 보안컨설팅 수행 절차 취약점 상세 진단 항목 ▪ SQL Injection 취약점 ▪ 파일 업로드 취약점 ▪ 파일 다운로드 취약점 ▪ XSS 취약점 ▪ 부적절한 에러 노출 취약점 ▪ 디렉토리 인덱싱 취약점 ▪ 관리자 페이지 접근 취약점 ▪ 쿠키 스니핑 / 변조 취약점 ▪ 히든 필드 취약점 ▪ 파라미터 조작 취약점 ▪ 패스워드 추측 취약점 ▪ 백업 파일 취약점 ▪ 중요 정보 노출 취약점 ▪ 서버 환경 설정 취약점 한국 IT 전문학교 - 2008 년 9 월 5 일 ( 전자신문 ) -
12
LOGOClick To Edit Title Style 보안컨설팅 수행 절차 취약점 진단 보고서 작성 예시 (1) 한국 IT 전문학교 ▪ XSS(Cross Site Scripting) 공지사항 게시판에 스크립트를 사용 할 수 있는 기능이 있어 악성 스크립트를 삽입한 게시물 작성이 가능하다. XSS 취약점은 사용자 세션을 획득하여 권한 도용이 가능한 취약점이나, 악성코드를 배포 시킬 수도 있어 위험도가 높은 취약점이다. [ 그림 X-X] 스크립트를 삽입한 게시물 작성
13
LOGOClick To Edit Title Style 보안컨설팅 수행 절차 취약점 진단 보고서 작성 예시 (2) 한국 IT 전문학교 ▪ XSS(Cross Site Scripting) 취약한 프로그래밍의 예 (ASP) 안전한 프로그래밍의 예 (ASP) <% Set objDBConn = Server.CreateObject ("ADODB.Connection") ' 게시물 읽기 Set objRs = Server.CreateObject("ADODB.RecordSet") objDBConn.Open "board", "user", "passwd" query = "SELECT id, name, memo FROM board_tbl WHERE id=1" objRs.Open query, objDBConn memo = objRs("memo") Response.write " 게시물 내용 -" & memo & " “ ' DB 에서 게시판의 내용 출력 If use_html Then ' HTML tag 를 사용하게 할 경우 부분 허용 memo = Server.HTMLEncode(memo) ' HTML tag 를 모두 제거 ' 허용할 HTML tag 만 변경 memo = replace(memo, "<p>", " ") memo = replace(memo, "<P>", " ") memo = replace(memo, "<br>", " ") memo = replace(memo, "<BR>", " ") Else ' HTML tag 를 사용하지 못하게 할 경우 memo = Server.HTMLEncode(memo) ' HTML encoding 수행 memo = replace(memo, "<", "<") memo = replace(memo, ">", ">") End If Response.write " 게시물 내용 -" & memo & " "
14
LOGOClick To Edit Title Style 기대 효과 한국 IT 전문학교 기업의 신뢰도 향상 및 발전 사회 전반의 보안 인식 향상 학교 연구 성과의 사회 기여 산학협력을 통한 기업과 학교의 발전 도모
15
LOGOClick To Edit Title Style 조직도 및 연락처 수행 조직도 한국 IT 전문학교 외부 보안 인력 본교 교류 보안 업체 IT 학부장 조 성 규 교수 IT 학부 교수진 보안업체 출신 교수진 본교 재학생 교내 모의해킹팀
16
LOGOClick To Edit Title Style 조직도 및 연락처 본교 위치 및 연락처 한국 IT 전문학교 ▪ 대표전화 : 02-578-5551 ▪ 팩 스 : 02-578-9866 ▪ 학교주소 : ( 우 )137-130 서울시 서초구 양재동 145-5 번지 ( 재 ) 한국 IT 직업전문학교 ▪ 조성규 학부장 : 02-578-5551( 내선 700) / flashbit@naver.com
17
LOGOClick To Edit Title Style 감사합니다. 한국 IT 전문학교
Similar presentations
