어떤 기관의 유지보수(SM)를 하고 있다면 시도 때도 없이 나오는 웹 취약 점검에 스트레스를 받고 있을 수 있다. 공공기관이라면 국가정보원의 점검, 행안부의 점검, 기관 자체의 점검 등 분기별로 혹은 연간으로 점검에 시달리게 될 수 있는데, 이 웹 취약점이란 무엇일까?
웹 취약점의 정의.
국제 표준화 기구(ISO)는 웹취약점을 다음과 같이 정의하고 있다.
"하나 이상의 위협에 의해 익스플로잇(보안 취약점을 이용한 공격)될 수 있는 자산 또는 자산들의 그룹의 약점"
국제 인터넷 표준화 기구(IETF)는 다음과 같이 정의한다.
"시스템의 디자인, 구현 또는 작업 그리고 관리에서의 결함이나 약점으로서, 시스템의 보안 정책을 침해하기 위해 익스플로잇(보안 취약점을 이용한 공격)될 수 있는 것."
즉 해커에 의해 해킹에 이용될 수 있는 프로그램의 버그라고 생각하면 된다.
웹취약점의 유형.
OWASP TOP 10 (국제 웹보안 표준기구로 정기적으로 웹 보안 동향을 발표하는 기관)
1.XSS
2.Injection Flaws
3.악성 파일 실행
4.불안전한 직접 객체 참조
5.Cross-Site Request Forgery
6.정보유출 및 부적절한 오류
7.취약한 인증 및 세션 관리
8.불안전한 암호화 저장
9.불안전한 통신
10.URL 접속 제한 실패
국정원 8대 취약점
1.디렉토링 리스팅 취약점
2.파일 다운로드 취약점
3.크로스 사이트 스크립트 취약점
4.파일 업로드 취약점
5.Web Dev 취약점
6.테크노트 취약점
7.SQL Injectin 취약점
웹 취약점에 대한 대응
여러 가지 웹 취약점의 유형에 대한 프로그램상의 선제적인 대응 코드가 필요하다. (크로스 사이트 스크립트(XSS)의 경우 공격자의 스크립트가 필터링되거나 문자가 변환될 수 있도록 코드를 작성해야 한다. 공격자가 입력한 스크립트가 화면상에 표출되거나 DB에 저장되지 않도록 위험한 단어를 제거하거나 변환하여야 한다.) 각 유형마다 대응하는 방법이 다르게 마련이며 프로그램 개발 시 최대한 취약점에 대응하도록 코드가 작성되지 않으면 유지보수 단계에게 큰 어려움을 겪게 될 수 있다.
'개발' 카테고리의 다른 글
| java.net.SocketException:Broken pipe 의 원인과 해결방법 (0) | 2021.12.21 |
|---|---|
| connectTimeoutException:The host did not accept the connection within timeout 에러 해결 ( 방화벽 해제 ) (0) | 2021.11.22 |
| java.net.UnknownHostException 에러 해결 (hosts파일 등록) (0) | 2021.11.22 |
| 이클립스 could not create the java virtual machine 에러 해결방법 (0) | 2021.05.29 |
| 좀비 프로세스 죽이기 (taskkill 액세스거부) 안전모드 부팅으로 해결 (4) | 2021.05.13 |
댓글