Safecode® 3.0 ㈜코드원 웹 애플리케이션 취약점 제거 및 관리 솔루션 : Web Application Vulnerability removal & management ㈜코드원

목 차 Ⅰ. Safecode는? Ⅱ. Safecode와 취약점분석 툴 Ⅲ. 구축 사례 2018-09-22

Ⅰ. Safecode는 ? 1.1. 기능 및 특징 1.2. 적용 절차 1.3. 구성도 1.4. 적용 예 1.5. 모니터링 1.6. 지원환경 1.7. 판매형태 Ⅰ. Safecode는 ? 2018-09-22

Safecode Ⅰ. Safecode는? Software 사람 Secure Library 보안컨설턴트 Safecode는 취약한 어플리케이션의 개선을 통한 웹 보안 솔루션으로 S/W(보안솔루션) 와 사람(보안 컨설팅)이 결합된 반(半)제품 형태의 솔루션 입니다. * Gartner보고서에 의하면 Tool 에 의한 보안은 이루고자 하는 최대 목표의 48% 이상 이룰 수가 없습니다. Software 사람 Secure Library 보안컨설턴트 웹 어플리케이션 취약점 진단 - 모의해킹 - 전문 도구 활용(상용 도구) 보안 코딩시 필요한 보안 프로세스를 Compact Module화 Safecode Webhack Monitoring 보안개발자 Lib. 모니터링을 통한 불법침입 탐지, 홈페이지 위변조 탐지 - 소스 취약점 진단 및 커스터마이징 - Secure Lib.와 보안코딩을 이용 하여 취약점 제거 2018-09-22

1-1. 기능 및 특징 Secure Lib. 와 보안코딩을 통하여 최소한의 프로그램 수정 만으로 웹 취약점 제거 일관된 보안 프로세스의 유지, 업데이트 및 기능추가, 유지보수 등 용이 비인가자 및 유지 보수 인력에 의한 보안 프로세스 훼손 방지 웹 프로그래밍 언어의 특징에 최적화되게 모듈화 (JSP, JAVA, ASP, PHP, DOTNET) 어플리케이션 전체의 비즈니스 로직과 보안 핵심프로세스 로직의 완전 분리 모듈화 소스레벨의 Black List IP접근 제어 불법침입 시도에 대한 해킹 발생 포인트 레벨에서 실시간 모니터링 기능 제공 기간별, 공격유형별, ip별, site별 보고서 제공 주기적 취약점을 통한 보안성 강화 구현 침해사고시 대응 2018-09-22

Secure Library(Safecode) 적용 1-2. 적용 절차 Safecode™ S/W 상관 관계 분석 Webhack Monitoring 취약점 분석 Safecode 설치 : 웹 서버 취약점 보고서상 상위레벨 취약점에 해당하는 부분에 Safecode 호출하여 삽입 중위레벨 취약점은 침해가능성 여부 판단하여 추가 적용 가용성 문제 여부 테스트 모니터링 설치 (전용 서버, Win Server) 보안코딩 적용 보고서 ( 적용 전후 비교) 관리자 권고사항 및 운용방법 교육 실시간 불법침입 탐지 모니터링 홈페이지 위.변조 모니터링 Safecode 손실방지 (이상유무) 모니터링 주기적 취약점 분석 및 모의해킹 제공 취약점 분석 결과에 따른 추가 커스터마이징 제공 침해사고 대응 웹 사이트 별 특성 파악 웹사이트 가용성 확보를 위한 상관관계 분석 취약성 점검 보고서 작성 모의해킹 보고서 작성 웹 취약점 분석 툴을 활용한 취약점 분석 - 보안설정 및 취약점 탐지 보안 컨설턴트에 의한 모의 해킹 - 취약점 분석 툴로 점검하기 어려운 부분에 대한 취약점 탐지 소스 취약점 분석 툴을 활용한 취약점 분석 - 1,2 단계에 의한 분석으로 미흡 판단 시 추가 취약점 탐지 지속적인 보안 관리 검증된 보안 프로세스 웹 취약점 제거 시스템 Secure Library(Safecode) 적용 보안 관리 2018-09-22

1-3. 구성도 Web Server Safecode -Lib. 형태로 설치 -Web 소스에 삽입 Source - 공격시 모듈호출 Monitoring Server SQL injection Module Log In Healthcare (Module 상태 확인) XSS Module 게시판 1 Upgrade/Patch (최신 해킹 대응) Monitoring Server Spec, OS : Win Server 2008 Database : My SQL or MS SQL CPU : PC Server 급 Memory : 2GB HDD : 720GB 이상 Dashboard File Upload Module 불법 침입시도 탐지 게시판 2 File Download Module 홈페이지 변경 탐지 Q&A Blind SQL Module * H/W 및 OS는 별도 입니다 MASS SQL Module 자료실 1 Database Log 전송 Outbound Filter Module Log 파일 2018-09-22

Safecode 모듈을 호출하여 Cross Site Scripting (Xss )취약점 제거하는 예제 입니다. 1-4. 적용 예 Safecode 모듈을 호출하여 Cross Site Scripting (Xss )취약점 제거하는 예제 입니다. 적용 전 적용 후 title = replace(title,"'","''") content = UploadForm("content") content = replace(content,"'","''") admin_text = UploadForm("admin_text") 45Line if admin_text = "" then admin_text = 0 end if password = UploadForm("password") password = replace(password,"'","''") …………………………후략………………………………… '코드원 보안코딩 08.06.05 이xx Set safe = Server.CreateObject ("SafeCode.Code") safe.setStr=title safe.doXssSafe() title =safe.getStr safe.setStr=name safe.doXssSafe() name=safe.getStr safe.setStr=email safe.doXssSafe() email=safe.getStr safe.setStr=content safe.doXssSafe() content=safe.getStr '보안코딩 끝 2018-09-22

① ② ③ 1-5. 모니터링 ① 불법 침입 탐지 ② 홈페이지 위 변조 탐지 ③ 관리자 페이지(환경 설정) Safecode 모니터링 시스템 ① ② ① 불법 침입 탐지 ② 홈페이지 위 변조 탐지 ③ 관리자 페이지(환경 설정) ③ 2018-09-22

Weblogic, JBoss, Oracle, Jeus 등 1-6. 지원 환경 ASP, JSP, PHP, dotNet, Ansi C, Action Script Web Application Windows Safecode Linux, Unix Tomcat, tMax, Wepsphere Weblogic, JBoss, Oracle, Jeus 등 IIS, WAS, APACHE 2018-09-22

Secure Library + Monitoring + 보안서비스 Secure Library + Monitoring (준비 중) 1-7. 판매 형태 Secure Library + Monitoring + 보안서비스 Secure Library + Monitoring (준비 중) 2018-09-22

Meet to the compliance and market demand for Web Security Ⅱ. Safecode와 취약점 분석 툴 Ⅲ. 구축 사례 Ⅳ. 보안관련 주요 지침 대비 Safecode 2018-09-22 Meet to the compliance and market demand for Web Security

SCM, CRM, Group Ware 영업, 인사 등 Ⅱ. Safecode와 취약점 분석 툴 Update Server 1) 취약점 DB Update 외부망에서 점검/접속 내부망에서 Internet Web Service Server WAS Server 기타 Web Server DMZ 구간 DB(데이터베이스) Server DB SCM, CRM, Group Ware 영업, 인사 등 Web 기반 Service Server Server Zone 기타 Web 기반 서버 취약점 점검 대상 (Web Site) 3) 점검 대상 장비의 정보 획득 (사이트 구성/ 웹 데몬 정보 등) 4) 획득 정보를 바탕으로 탐지 시그니처 구성 5) 점검대상의 취약점 점검 및 평가 AppScan (웹 취약점 분석) Exploring 기능 제어기능 Detection 기능 보고서 관리/생성 OS: Windows 계열 8) 웹 변경 및 신규 해킹 2) 점검관리대상 지정 및 점검정책/ 점검법칙 설정 보안담당자 7) 다중 분산 모니터링 (보안 관제) 웹 운영자 #1 웹 운영자 #2 웹 운영자 #3 6) 점검결과물 및 보안 감사 보고서, 조치방안 가이드 라인 Safecode (웹 취약점 제거 및 관리) 웹 취약점 제거 제어기능 불법침입 탐지 웹 위변조 탐지 2018-09-22

Ⅲ. 구축 사례 KAIST 대구시 대구시 메인 홈페이지 및 산하관련 기관 및 부처 55개 홈페이지에 적용 한국과학기술원 학사행정관련 모든 웹 어플리케이션 및 행정부처 모든 홈페이지 적용 방위사업청 대표 홈페이지 및 국방전자조달시스템에 적용 크라이스아이앤씨 대표 홈페이지, 결제 시스템 및 쇼핑몰 엔진에 적용 한국생명공학연구원 전국신용보증재단연합회 서울신용보증재단 경기신용보증재단 양산시 2011사업단 휴니드테크놀러지즈 대구도시철도공사 농수산물도매협회 수산도서관 대구 소방본부 KAIST서울경영대학원 한국원자력연구원 대구농업기술센터 발전재단 목포항만해운청진도표지소 과학영재교육연구원 축산물품질평가원 대구혁신도시지원단 120여 사이트에 적용되어 사용하고 있습니다… 2018-09-22

Ⅳ. 보안관련 주요 지침 대비 Safecode#1 순번 진단항목 전자정부 OWASP 10 국정원8대 cwe/sans25 기타 제거 방법 1 Cross Sit Scriptine 요청 참조 공격 ○ safecode 2 SQL Injection 공격 3 악성 파일 실행 safecode서비스 4 불안전한 직접객체 참조 5 Cross Site 요청 참조 6 정보 유출 및 부적절한 오류처리 7 취약한 인증 및 세션 관리 8 불안전한 암호화 저장 db보안 솔루션 9 불안전한 통신 암호화 솔루션 10 URL 접근 제한 실패 11 디렉터리 리스팅 12 부적절한 환경 설정 13 파일 다운로드 14 파일 업로드 15 백업파일 노출 16 입력 값 검증 부재 Safecode : Secure Lib를 이용하여 제거, 모니터링 프로그램을 통하여 탐지 Safecode서비스 : 고객 및 유지보수 업체와 협업을 통하여 제거 기타 : 솔루션 도입이나 Vendor사 보안 Patch 권고 2018-09-22

Ⅳ. 보안관련 주요 지침대비 Safecode#2 순번 진단항목 전자정부 OWASP 10 국정원8대 cwe/sans25 기타 제거 방법 17 쿠키 암호화 ○ 암호화 솔루션 18 취약한 접근 통제 safecode서비스 19 서비스 거부 공격 DDos 장비 20 버퍼 오버 플로우 safecode 21 가짜 엑티브 엑스 확인하기 22 디맥스 웹 Appl. 서버(JEUS)취약점 patch 23 WebDAV 취약점 24 테크노트(Technote)취약점 25 제로보드(Zeroboard)취약점 26 인증 우회 27 경쟁 상태 (Race Condition) 28 경로 조작 29 PHP File Inclusion 30 검증되지 않은 redirect와 forward 31 불법 침임시도 탐지 32 홈페이지 위변조 탐지 Safecode : Secure Lib를 이용하여 제거, 모니터링 프로그램을 통하여 탐지 Safecode서비스 : 고객 및 유지보수 업체와 협업을 통하여 제거 기타 : 솔루션 도입이나 Vendor사 보안 Patch 권고 2018-09-22

감사합니다. Q&A 코드원과 함께 하는 웹 보안, 당신의 웹을 안전하게 지켜드립니다. ㈜ 코드원 경기도 고양시 덕양구 행신동 765 해동빌딩 6F 전화: 031-970-4874 팩스: 031-970-4854 영업지원: bush@code1.co.kr 기술지원: dychoi@code1.co.kr 보안 연구소 대구광역시 동구 신천3동 123-1번지 농공빌딩 6F 전화: 031-974-0114 053-744-4823~4