Safecode® 3.0 ㈜코드원 웹 애플리케이션 취약점 제거 및 관리 솔루션

Slides:



Advertisements
Similar presentations
컴퓨터 프로그래머 Confidential 1 넥스트리밍㈜ 책임연구원 10 기 이준용,
Advertisements

팀 명 : 커 피 팀 원 : 정수현 외 4 명 ( 다른 학교분들 ). 목차목차 결과물 시현 및 설명 DB 설계 서비스 흐름도 개발 환경 개발 개요 개발 과정의 기술 개발 동기.
설계사를 위한 Mobile 영업지원 System 설계사를 위한 Mobile 영업 지원 System 설계사를 위한 Mobile 영업 지원 System 1 Agenda Ⅰ. Mobile Project 추진 목적 Ⅱ. Mobile 환경 분석 Ⅲ.
Internet Multimedia solutions Internet Multimedia Solutions (Video Chatting) KLC21 ㈜ 본 제안서의 내용은 ㈜ KLC 에 저작권이 있습니다. 본 제안서는 내용이 구성이 잘된 제안서로서 제안서를.
더존다스 경영전략과 비젼 1 ERP 개발부문
Duzon IT Group Duzon ERP China 1 NEO-Sⁿ 개요시스템구성강점적용화면도입효과 원거리 사업장 적용 예 증빙관리 & 데이터보안 솔루션 표준제안서 증빙관리 & 데이터보안 솔루션 표준제안서 Duzon IT Group Duzon ERP China.
LOGO 중소기업체 대상 무료 정보보안컨설팅 제안서. LOGOClick To Edit Title Style 목 차 한국 IT 전문학교 해킹 피해 사례 제안의 개요 및 목적 보안컨설팅 수행 절차 기대효과 조직도 및 연락처.
Copyright © 2006 by The McGraw-Hill Companies, Inc. All rights reserved. McGraw-Hill Technology Education Copyright © 2006 by The McGraw-Hill Companies,
인터넷 쇼핑몰 구축 제안서.
모바일 업무 제안서
C.I.A (Cyber Information Analyzer) C.I.A (Cyber Information Analyzer)
개인정보 암호화 법령 현황 - 개인정보 유출 소송 사례와 대응 방안 -
MrDataBld 2.x 제품 소개 2007.
MO/MT를 활용한 Call Center 제안
2009년 IT인재개발원 [연수생 모집요강]
프랜차이즈 본사 인트라넷 구축 제안서 제출처 : ㈜마세다린 제출사 : ㈜데이타캠프 제출일 :
HACKING 김진수 소준형 유병화.
기술 표준 6대 필수 기술 요소에 대해 지정한 그룹 IT 기술 표준에 따라 DBMS는 MS SQL과 Oracle에 대해 검토 함 구분 OS DBMS WAS Web Sever 검토대상 종합의견 x86 기반 OS(64bit 권장) 성능, 안정성 및 HW의 확장성 향상으로.
APPEON SOLUTION INTRODUCTION.
Web Server (JSP, Servlet 지원)
KMS/Portal 에서의 효율적인 정보검색
Ablecom Type-7 IVR 에이블컴 기술연구소.
Web Programming 강의 소개
공개소프트웨어란? “Open Source Software(공개SW)는 저작권자가 소스 코드를 개방하여 소스 코드의 수정, 재 배포가 자유로운 SW로 규정한다 공개소프트웨어는 전세계 개발자 누구나 참여하고 있는 커뮤니티 프로젝트로 개발되며, 브랜드를 달고.
효과적인 DB암호화 구축을 위한 애슬론 v1.5 제안
IPCC Full Solutions Billit All IP Contact Center llllBillit -IP_PBX
컴퓨터 소프트웨어.
제품소개서 탭스 메일러 4 (TABS Mailer 4) 탭스랩주식회사.
Samsung Securities SECURITIES.
회사 소개서.
동호회 구축 제안서 인터넷전문가그룹 4biz.
1장. JSP 및 Servlet을 활용한 동적 웹 프로그래밍 소개 제1장.
OWASP Mobile TOP 10 학번 : 이름 : 공 우 진 발표일 :
1. WEB access log 형식 2. WEB access log 위치 3. WEB access log 분석
HB 시스템구성도.
2007. Database Term Project Team 2 윤형석, 김희용, 최현대 우경남, 이상제
NTAS 소개 (Network Transaction Application Server)
Web Services 웹서비스 도입 및 확산에 따른 기대효과 1.
Internet Multimedia Solutions (Video Chatting)
Unified Communications Cisco Korea
인터넷 보안 정보 보안 개론 5장.
자격증 모의 테스트 시스템 담당 교수 : 이 상 문 교수님 팀명 : CSCLAB
웹서버와 설치에 필요한 것 WWW ( world wide web ) TCP/IP 프로토콜을 이용하는 클라이언트/서버 환경
인터넷 웹구축 7조 제안서 조장 : 임동진( ) 조원 : 임효종( ) 한상길( )
Web Server Program 구현 - 네트워크 프로그래밍 - 박내갑 ( ) 김상언 ( )
드 림 스 타 트 통합사례관리시스템 계약서 계약일자 : “갑” : “을” : ㈜ 진 우 정 보 시 스 템.
04장 웹 보안: 웹, 그 무한한 가능성과 함께 성장한 해킹
동부생명 홈페이지 제안서
HUCHEMS e-Procurement System
포토서버 (PhotoServer) 제품 소개서
Web Vulnerabilities 정보 보호 2008/05/31 Getroot.
KRISTAL 2006 워크숍 KRISTAL 개발 업체 발표
Packet Analyzer V (주) 이네스 닷컴.
Internet Multimedia Solutions (Video Web Call Center)
ERP 솔루션 목차 회사소개 사업분야 솔루션 소개.
메일캐리어 제품 소개서 탭스랩주식회사.
2002년 3월 한국후지쯔 주식회사 (소네트) 임철순 과장
NTAS 소개 (Network Transaction Application Server)
XSS (Cross Site Script)
SPS2003의 서버 구성 요소 SPS2003은 서버 컴포넌트가 각 역할별로 분리되어 있다. Web Component
SQL INJECTION MADE BY 김 현중.

JSP와의 첫 만남 간간한 JSP 프로그램을 작성하면서 앞으로 학습에 필요한 과정을 익힌다.
전자정부 컨퍼런스 2005 전자정부 구현을 위한 공개SW 적용방안
XSS 정 여 진.
코로케이션 서비스 안내 정보화본부 정보화지원과.
홈페이지 제안서
웹 프로그래밍 기술 요약 Yang-Sae Moon Department of Computer Science
Web Server Install.
Presentation transcript:

Safecode® 3.0 ㈜코드원 웹 애플리케이션 취약점 제거 및 관리 솔루션 : Web Application Vulnerability removal & management ㈜코드원

목 차 Ⅰ. Safecode는? Ⅱ. Safecode와 취약점분석 툴 Ⅲ. 구축 사례 2018-09-22

Ⅰ. Safecode는 ? 1.1. 기능 및 특징 1.2. 적용 절차 1.3. 구성도 1.4. 적용 예 1.5. 모니터링 1.6. 지원환경 1.7. 판매형태 Ⅰ. Safecode는 ? 2018-09-22

Safecode Ⅰ. Safecode는? Software 사람 Secure Library 보안컨설턴트 Safecode는 취약한 어플리케이션의 개선을 통한 웹 보안 솔루션으로 S/W(보안솔루션) 와 사람(보안 컨설팅)이 결합된 반(半)제품 형태의 솔루션 입니다. * Gartner보고서에 의하면 Tool 에 의한 보안은 이루고자 하는 최대 목표의 48% 이상 이룰 수가 없습니다. Software 사람 Secure Library 보안컨설턴트 웹 어플리케이션 취약점 진단 - 모의해킹 - 전문 도구 활용(상용 도구) 보안 코딩시 필요한 보안 프로세스를 Compact Module화 Safecode Webhack Monitoring 보안개발자 Lib. 모니터링을 통한 불법침입 탐지, 홈페이지 위변조 탐지 - 소스 취약점 진단 및 커스터마이징 - Secure Lib.와 보안코딩을 이용 하여 취약점 제거 2018-09-22

1-1. 기능 및 특징 Secure Lib. 와 보안코딩을 통하여 최소한의 프로그램 수정 만으로 웹 취약점 제거 일관된 보안 프로세스의 유지, 업데이트 및 기능추가, 유지보수 등 용이 비인가자 및 유지 보수 인력에 의한 보안 프로세스 훼손 방지 웹 프로그래밍 언어의 특징에 최적화되게 모듈화 (JSP, JAVA, ASP, PHP, DOTNET) 어플리케이션 전체의 비즈니스 로직과 보안 핵심프로세스 로직의 완전 분리 모듈화 소스레벨의 Black List IP접근 제어 불법침입 시도에 대한 해킹 발생 포인트 레벨에서 실시간 모니터링 기능 제공 기간별, 공격유형별, ip별, site별 보고서 제공 주기적 취약점을 통한 보안성 강화 구현 침해사고시 대응 2018-09-22

Secure Library(Safecode) 적용 1-2. 적용 절차 Safecode™ S/W 상관 관계 분석 Webhack Monitoring 취약점 분석 Safecode 설치 : 웹 서버 취약점 보고서상 상위레벨 취약점에 해당하는 부분에 Safecode 호출하여 삽입 중위레벨 취약점은 침해가능성 여부 판단하여 추가 적용 가용성 문제 여부 테스트 모니터링 설치 (전용 서버, Win Server) 보안코딩 적용 보고서 ( 적용 전후 비교) 관리자 권고사항 및 운용방법 교육 실시간 불법침입 탐지 모니터링 홈페이지 위.변조 모니터링 Safecode 손실방지 (이상유무) 모니터링 주기적 취약점 분석 및 모의해킹 제공 취약점 분석 결과에 따른 추가 커스터마이징 제공 침해사고 대응 웹 사이트 별 특성 파악 웹사이트 가용성 확보를 위한 상관관계 분석 취약성 점검 보고서 작성 모의해킹 보고서 작성 웹 취약점 분석 툴을 활용한 취약점 분석 - 보안설정 및 취약점 탐지 보안 컨설턴트에 의한 모의 해킹 - 취약점 분석 툴로 점검하기 어려운 부분에 대한 취약점 탐지 소스 취약점 분석 툴을 활용한 취약점 분석 - 1,2 단계에 의한 분석으로 미흡 판단 시 추가 취약점 탐지 지속적인 보안 관리 검증된 보안 프로세스 웹 취약점 제거 시스템 Secure Library(Safecode) 적용 보안 관리 2018-09-22

1-3. 구성도 Web Server Safecode -Lib. 형태로 설치 -Web 소스에 삽입 Source - 공격시 모듈호출 Monitoring Server SQL injection Module Log In Healthcare (Module 상태 확인) XSS Module 게시판 1 Upgrade/Patch (최신 해킹 대응) Monitoring Server Spec, OS : Win Server 2008 Database : My SQL or MS SQL CPU : PC Server 급 Memory : 2GB HDD : 720GB 이상 Dashboard File Upload Module 불법 침입시도 탐지 게시판 2 File Download Module 홈페이지 변경 탐지 Q&A Blind SQL Module * H/W 및 OS는 별도 입니다 MASS SQL Module 자료실 1 Database Log 전송 Outbound Filter Module Log 파일 2018-09-22

Safecode 모듈을 호출하여 Cross Site Scripting (Xss )취약점 제거하는 예제 입니다. 1-4. 적용 예 Safecode 모듈을 호출하여 Cross Site Scripting (Xss )취약점 제거하는 예제 입니다. 적용 전 적용 후 title = replace(title,"'","''") content = UploadForm("content") content = replace(content,"'","''") admin_text = UploadForm("admin_text") 45Line if admin_text = "" then admin_text = 0 end if password = UploadForm("password") password = replace(password,"'","''") …………………………후략………………………………… '코드원 보안코딩 08.06.05 이xx Set safe = Server.CreateObject ("SafeCode.Code") safe.setStr=title safe.doXssSafe() title =safe.getStr safe.setStr=name safe.doXssSafe() name=safe.getStr safe.setStr=email safe.doXssSafe() email=safe.getStr safe.setStr=content safe.doXssSafe() content=safe.getStr '보안코딩 끝 2018-09-22

① ② ③ 1-5. 모니터링 ① 불법 침입 탐지 ② 홈페이지 위 변조 탐지 ③ 관리자 페이지(환경 설정) Safecode 모니터링 시스템 ① ② ① 불법 침입 탐지 ② 홈페이지 위 변조 탐지 ③ 관리자 페이지(환경 설정) ③ 2018-09-22

Weblogic, JBoss, Oracle, Jeus 등 1-6. 지원 환경 ASP, JSP, PHP, dotNet, Ansi C, Action Script Web Application Windows Safecode Linux, Unix Tomcat, tMax, Wepsphere Weblogic, JBoss, Oracle, Jeus 등 IIS, WAS, APACHE 2018-09-22

Secure Library + Monitoring + 보안서비스 Secure Library + Monitoring (준비 중) 1-7. 판매 형태 Secure Library + Monitoring + 보안서비스 Secure Library + Monitoring (준비 중) 2018-09-22

Meet to the compliance and market demand for Web Security Ⅱ. Safecode와 취약점 분석 툴 Ⅲ. 구축 사례 Ⅳ. 보안관련 주요 지침 대비 Safecode 2018-09-22 Meet to the compliance and market demand for Web Security

SCM, CRM, Group Ware 영업, 인사 등 Ⅱ. Safecode와 취약점 분석 툴 Update Server 1) 취약점 DB Update 외부망에서 점검/접속 내부망에서 Internet Web Service Server WAS Server 기타 Web Server DMZ 구간 DB(데이터베이스) Server DB SCM, CRM, Group Ware 영업, 인사 등 Web 기반 Service Server Server Zone 기타 Web 기반 서버 취약점 점검 대상 (Web Site) 3) 점검 대상 장비의 정보 획득 (사이트 구성/ 웹 데몬 정보 등) 4) 획득 정보를 바탕으로 탐지 시그니처 구성 5) 점검대상의 취약점 점검 및 평가 AppScan (웹 취약점 분석) Exploring 기능 제어기능 Detection 기능 보고서 관리/생성 OS: Windows 계열 8) 웹 변경 및 신규 해킹 2) 점검관리대상 지정 및 점검정책/ 점검법칙 설정 보안담당자 7) 다중 분산 모니터링 (보안 관제) 웹 운영자 #1 웹 운영자 #2 웹 운영자 #3 6) 점검결과물 및 보안 감사 보고서, 조치방안 가이드 라인 Safecode (웹 취약점 제거 및 관리) 웹 취약점 제거 제어기능 불법침입 탐지 웹 위변조 탐지 2018-09-22

Ⅲ. 구축 사례 KAIST 대구시 대구시 메인 홈페이지 및 산하관련 기관 및 부처 55개 홈페이지에 적용 한국과학기술원 학사행정관련 모든 웹 어플리케이션 및 행정부처 모든 홈페이지 적용 방위사업청 대표 홈페이지 및 국방전자조달시스템에 적용 크라이스아이앤씨 대표 홈페이지, 결제 시스템 및 쇼핑몰 엔진에 적용 한국생명공학연구원 전국신용보증재단연합회 서울신용보증재단 경기신용보증재단 양산시 2011사업단 휴니드테크놀러지즈 대구도시철도공사 농수산물도매협회 수산도서관 대구 소방본부 KAIST서울경영대학원 한국원자력연구원 대구농업기술센터 발전재단 목포항만해운청진도표지소 과학영재교육연구원 축산물품질평가원 대구혁신도시지원단 120여 사이트에 적용되어 사용하고 있습니다… 2018-09-22

Ⅳ. 보안관련 주요 지침 대비 Safecode#1 순번 진단항목 전자정부 OWASP 10 국정원8대 cwe/sans25 기타 제거 방법 1 Cross Sit Scriptine 요청 참조 공격 ○ safecode 2 SQL Injection 공격 3 악성 파일 실행 safecode서비스 4 불안전한 직접객체 참조 5 Cross Site 요청 참조 6 정보 유출 및 부적절한 오류처리 7 취약한 인증 및 세션 관리 8 불안전한 암호화 저장 db보안 솔루션 9 불안전한 통신 암호화 솔루션 10 URL 접근 제한 실패 11 디렉터리 리스팅 12 부적절한 환경 설정 13 파일 다운로드 14 파일 업로드 15 백업파일 노출 16 입력 값 검증 부재 Safecode : Secure Lib를 이용하여 제거, 모니터링 프로그램을 통하여 탐지 Safecode서비스 : 고객 및 유지보수 업체와 협업을 통하여 제거 기타 : 솔루션 도입이나 Vendor사 보안 Patch 권고 2018-09-22

Ⅳ. 보안관련 주요 지침대비 Safecode#2 순번 진단항목 전자정부 OWASP 10 국정원8대 cwe/sans25 기타 제거 방법 17 쿠키 암호화 ○ 암호화 솔루션 18 취약한 접근 통제 safecode서비스 19 서비스 거부 공격 DDos 장비 20 버퍼 오버 플로우 safecode 21 가짜 엑티브 엑스 확인하기 22 디맥스 웹 Appl. 서버(JEUS)취약점 patch 23 WebDAV 취약점 24 테크노트(Technote)취약점 25 제로보드(Zeroboard)취약점 26 인증 우회 27 경쟁 상태 (Race Condition) 28 경로 조작 29 PHP File Inclusion 30 검증되지 않은 redirect와 forward 31 불법 침임시도 탐지 32 홈페이지 위변조 탐지 Safecode : Secure Lib를 이용하여 제거, 모니터링 프로그램을 통하여 탐지 Safecode서비스 : 고객 및 유지보수 업체와 협업을 통하여 제거 기타 : 솔루션 도입이나 Vendor사 보안 Patch 권고 2018-09-22

감사합니다. Q&A 코드원과 함께 하는 웹 보안, 당신의 웹을 안전하게 지켜드립니다. ㈜ 코드원 경기도 고양시 덕양구 행신동 765 해동빌딩 6F 전화: 031-970-4874 팩스: 031-970-4854 영업지원: bush@code1.co.kr 기술지원: dychoi@code1.co.kr 보안 연구소 대구광역시 동구 신천3동 123-1번지 농공빌딩 6F 전화: 031-974-0114 053-744-4823~4