생몰정보
소속
직위
직업
활동분야
주기
서지
국회도서관 서비스 이용에 대한 안내를 해드립니다.
검색결과 (전체 1건)
원문 있는 자료 (1) 열기
원문 아이콘이 없는 경우 국회도서관 방문 시 책자로 이용 가능
목차보기더보기
표제지
목차
요약문 3
SUMMARY 7
제1장 연구 개요 20
제1절 배경 및 목적 20
1. 연구 배경 20
2. 연구 목적 21
제2절 연구 목표 및 내용 22
1. 연구 목표 22
2. 연구 내용 22
제2장 관련 연구 동향 23
제1절 웹 취약점 OWASP Top 10 23
1. OWASP Top10 소개 23
2. OWASP TOP10 2013 내용 24
제2절 웹 취약점 분석 도구 32
1. Acunetix Web Vulnerability Scanner 32
2. IBM Security Appscan 34
3. Burp Suite 35
4. Nessus Vulnerability Scanner 36
5. Paros 38
제3장 웹 취약점 분석 업무 39
제1절 웹 취약점 분석 업무 프로세스 39
1. 개요 39
2. 일반점검 프로세스 40
3. 일괄점검 프로세스 50
제2절 웹 취약점 분석 업무 진행결과 60
제4장 웹 취약점 기술지원 64
제1절 주요 문의 사항 64
제2절 주요 문의 사항별 조치 사항 65
1. 서비스 이용 방법 문의 65
2. 점검 진행 상황 문의 67
3. 적격 여부 문의 67
4. 인증번호 인증 문의 68
5. E-mail 도메인 불일치 문의 70
6. Toolbox 홈페이지 접속문의 71
7. Toolbox 회원 계정 관련 문의 73
8. 인트라넷 페이지 관련 문의 74
9. 보고서 증빙자료 사용 가능 문의 74
10. 점검보고서 취약점 문의 75
11. 기타 76
제3절 기술지원 76
제5장 취약점별 보완 조치 방법 79
제1절 Toolbox 웹 취약점 발생량 통계 79
제2절 취약점을 보완을 위한 시큐어 코딩 방법 80
1. 크로스 사이트 스크립트(XSS) 80
2. 프레임을 통한 피싱 82
3. SQL 인젝션 83
4. 임시 파일 다운로드 85
5. HTTP 응답 분할 87
제6장 인력 양성 89
제1절 웹 취약점 연구 세미나 89
1. 모의해킹을 위한 홈페이지 개설 및 활용 89
2. 웹 취약점 분석 세미나 90
제2절 정보보호 워크샵 개최 91
1. 대학 및 지역업체 웹 취약점 분석 91
2. 최신 웹해킹 동향 95
제3절 모의 해킹 대회 개최 100
1. 개요 100
2. 경진대회 문제 출제 100
3. 대회 운영 방식 100
4. 대회 문제 설명 103
제7장 결론 115
제1절 웹 취약점 분석 업무 115
제2절 웹 취약점 연구 116
제3절 사이버 시큐리티 센터 운영 효과 116
제4절 사이버 시큐리티 연구센터 발전 방향 117
[부록] 웹 취약점 보안 가이드 118
제1장 개요 121
제1절 가이드 목적 및 구성 121
제2절 홈페이지 취약점 유형 121
1. 업데이이터 검증 및 표현 122
2. 보안기능 125
3. 시간 및 상태 127
4. 에러처리 127
5. 코드오류 127
6. 캡슐화 128
제2장 웹 취약점 분석 도구 130
제1절 웹 취약점 분석 도구 130
1. Acunetix Web vulnerability Scanner 130
2. IBM Security AppScan 131
3. Burp Suite 132
4. Nessus Vulnerability Scanner 133
5. Paros 135
제3장 웹 어플리케이션 취약점 및 보안조치 137
제1절 웹 어플리케이션 시큐어 코딩 137
1. 크로스 사이트 스크립트(XSS) 137
2. 운영체제 명령 실행 138
3. XQuery 인젝션 140
4. XPath 인젝션 142
5. 파일 업로드 144
6. 파일 다운로드 145
7. 버퍼 오버플로우 147
8. LDAP 인젝션 148
9. 프레임을 통한 피싱 150
10. SQL 인젝션 151
11. 임시 파일 다운로드 153
12. HTTP 응답 분할 155
13. URL/파라미터 변조 156
14. 취약한 계정 생성 허용 158
15. 불충분한 세션관리 160
16. 테이터 평문전송 161
17. 쿠키 변조 163
18. 취약한 암호화 알고리즘 사용 164
19. 취약한 패스워드 복구 165
20. 주석을 통한 정보 노출 167
제4장 웹 서버 취약점 및 보안조치 169
제1절 웹 서버 보안 설정 169
1. 디렉터리 인덱싱 169
2. SSI 인젝션 170
3. 에러페이지 노출 171
4. 관리자페이지 노출 172
5. 백업 및 임시파일 노출 173
6. 웹 서비스 메소드 설정 공격 174
7. 검색엔진 정보 노출 175
판권기 177
[표 2.1] A5 - Security Misconfiguration 관련시나리오 28
[표 2.2] A6 - Sensitive data Exposure 관련 시나리오 29
[표 2.3] A10 - Unvalidated Redirects and Fowards 관련 시나리오 32
[표 3.1]/[표 3.4] 월별 업무처리 현황 60
[표 3.2]/[표 3.5] 총 점검신청 건수 중 적격 및 부적격 처리 건수 61
[표 3.3]/[표 3.6] 점검결과 양호 및 취약 판정 건수 62
[표 3.4]/[표 3.7] 취약 건수 중 발견된 주요 취약점 63
[표 4.1] 주요 문의 사항 통계 65
[표 4.2] 문의사례(1) 65
[표 4.3] 서비스 이용 안내 매뉴얼 예 66
[표 4.4] 문의사례(2) 67
[표 4.5] 문의사례(3) 67
[표 4.6] 적격 여부 안내 매뉴얼 예 68
[표 4.7] 문의사례(4) 68
[표 4.8] 문의사례(5) 69
[표 4.9] 문의사례(6) 70
[표 4.10]/[표 4.9] 문의사례(7) 73
[표 4.11]/[표 4.10] 문의사례(8) 75
[표 4.12]/[표 4.11] 문의사례(9) 76
[표 5.1] Toolbox 주요 발생 취약점 통계 및 비율 80
[그림 2.1] OWASP Top 10 2010 & 2013 비교 23
[그림 2.2] 취약점 발생위험(1) 24
[그림 2.3] 취약점 발생위험(2) 25
[그림 2.4] 취약점 발생위험(3) 25
[그림 2.5] 쿠키 값 복사 26
[그림 2.6] 쿠키 값 변조 실행 26
[그림 2.7] Stored XSS 유형 27
[그림 2.8] 계좌정보를 조회하는 페이지 예시 27
[그림 2.9] 파일을 다운로드시키는 동적페이지 예시 28
[그림 2.10] 파라미터 변조기법 30
[그림 2.11] 거짓계좌정보 삽입의 예 30
[그림 2.12] 취약한 컴포넌트 다운로드 사례 31
[그림 2.13] Acunetix 홈페이지 33
[그림 2.14] 웹 취약점 점검 도구 - Acunetix 실행화면 33
[그림 2.15] 웹 취약점 점검 도구 - AppScan 실행화면 34
[그림 2.16] 웹 취약점 점검 도구 - Burp suite 실행화면 35
[그림 2.17] 웹 취약점 점검 도구 - Nessus 홈페이지 37
[그림 2.18] 웹 취약점 점검 도구 - Paros 실행화면 38
[그림 3.1] 웹 취약점 원격점검 점검 절차 39
[그림 3.2] 적격심사 40
[그림 3.3] 적격심사 상세보기 40
[그림 3.4] 이메일 발송 41
[그림 3.5] 점검처리 42
[그림 3.6] 점검처리 상세보기 43
[그림 3.7] 오탐점검 44
[그림 3.8] 오탐점검(관리자 서버 원격접속) 44
[그림 3.9] 오탐점검 (SCAN파일로딩} 45
[그림 3.10] 오탐점검 (SCAN제외 확장자 등록) 45
[그림 2.11] 오탐점검(서버 및 도메인 추가) 46
[그림 3.12] 오탐점검(수동탐색) 47
[그림 3.13] 오탐점검(삭제) 47
[그림 3.14] 점검보고서 발송 48
[그림 3.15] 주간 보고서 예시 49
[그림 3.16] 일괄점검등록 50
[그림 3.17] 적격심사(일괄) 51
[그림 3.18] 적격심사 52
[그림 3.19] 적격심사 - 점검시작 53
[그림 3.20] 오탐점검 54
[그림 3.21] 오탐점검 (관리저서버 원격접속) 54
[그림 3.22] 오탐점검(SCAN 파일로딩) 55
[그림 3.23] 오탐점검(SCAN제외 확장자 등록) 55
[그림 3.24] 오탐점검(서버 및 도메인 추가) 56
[그림 3.25] 오탐점검 (수동탐색) 56
[그림 3.26] 오탐점검(삭제) 57
[그림 3.27] 점검보고서 발송 58
[그림 3.28] 점검보고서 발송 59
[그림 3.29] 월별 업무처리 현황 그래프 61
[그림 3.30] 적격 및 부적격 처리 건수 61
[그림 3.31] 점겸결과 양호 및 취약 판정 건수 그래프 62
[그림 3.32] 재점검 신청 URL 건수 63
[그림 4.1] 주요 문의 사항별 문의 횟수 64
[그림 4.2] 인증번호 인증메일 재전송 방법(1-1) 70
[그림 4.3] 인증번호 인증메일 재전송 방법(1-2) 70
[그림 4.4] '보안 콘텐츠만 표시' 에 대한 문제 해결 방법 71
[그림 4.5] 인터넷 옵션 - 신뢰할 수 있는 사이트 72
[그림 4.6] 도구 - 호환성 보기 설정 72
[그림 4.7] 회원가입 E-mail 도메인에 '-' 문자열이 포함되는 경우 오류 73
[그림 4.8] Toolbox 홈페이지 회원관리 페이지 74
[그림 4.9] 인트라넷 페이지 로그인 화면 74
[그림 4.10] 정상적으로 필터링 되고 있는 것처럼 보이는 부분 77
[그림 4.11] POST 방식의 웹 취약점 점검 도구상 익스플로잇 코드 내용 77
[그림 4.12] 해당 웹페이지 실제 취약점에 대한 공격 시연 동영상 78
[그림 5.1] Toolbox 주요 웹 취약점 발생 현황 79
[그림 6.1] 모의해킹 구축 사이트 89
[그림 6.2] 모의해킹 구축 사이트 90
[그림 6.3] Burp suite 메뉴얼 90
[그림 6.4] 정보보호 워크숍 91
[그림 6.5] 교내 웹 취약점 위험도 '상' 분석결과 92
[그림 6.6] 교내 웹 취약점 '중' 분석결과 93
[그림 6.7] 교내 웹 취약점 '하' 분석결과 93
[그림 6.8] 목포소재 A 회사 주요 취약점 94
[그림 6.9] 광주소재 B 회사 주요 취약점 94
[그림 6.10] 전문가 초청 강연 95
[그림 6.11] 최근 해킹사고처리건수 96
[그림 6.12] 최근 웜, 바이러스 피해현황 96
[그림 6.13] 최근 개인정보 침해사건 발생량 96
[그림 6.14] 2013년 OWASP 취약점 Top 10 97
[그림 6.15] 해킹대회 운영 웹사이트 화면 101
[그림 6.16] 대회장 문제 출제 화면 구성 (총 14문제) 101
[그림 6.17] 모의 해킹 대회 공지 102
[그림 6.18] 대회장 운영 102
[그림 6.19] Traiva 1번 문제 103
[그림 6.20] Traiva 2번 문제 104
[그림 6.21] Traiva 3번 문제 105
[그림 6.22] Traiva 4번 문제 105
[그림 6.23] Web Hacking 1번 문제 106
[그림 6.24] Web Hacking 2번 문제 107
[그림 6.25] Reversing 1번 문제 109
[그림 6.26] Reversing 2번 문제 110
[그림 6.27] Reversing 3번 문제 111
[그림 6.28] Reversing 4번 문제 111
[그림 6.29] Forensics 1번 문제 112
[그림 6.30] Forensics 2번 문제 113
이용현황보기
가상서가
원문구축 및 2018년 이후 자료는 524호에서 직접 열람하십시요.
도서위치안내: / 서가번호:
우편복사 목록담기를 완료하였습니다.
* 표시는 필수사항 입니다.
* 주의: 국회도서관 이용자 모두에게 공유서재로 서비스 됩니다.
저장 되었습니다.
로그인을 하시려면 아이디와 비밀번호를 입력해주세요. 모바일 간편 열람증으로 입실한 경우 회원가입을 해야합니다.
공용 PC이므로 한번 더 로그인 해 주시기 바랍니다.
아이디 또는 비밀번호를 확인해주세요