¾ÆÅ¥³×ƽ½º WVS V5 ¸®ºä -2
Jason Lee
2007³â 6¿ù 15ÀÏ
ÀÌÀü Æ÷½ºÆ®¿¡ ÀÌ¾î¼ ¾ÆÅ¥³×ƽ½ºÀÇ µµ±¸¿¡ ´ëÇÑ ¸®ºä¸¦ ÁøÇàÇÏ°í ÀüüÀûÀÎ ÆòÀ» Çϵµ
·Ï ÇÏ°Ú½À´Ï´Ù. ¹ø°Å·Ó°Ô ¸®ºä°¡ µÎ°³·Î ³ª¿ì¾îÁö°Ô µÇ¾î¼ ¾Öµ¶Àںе鿡°Ô ºÒÆíÇÔÀ» µå·Á Á˼ÛÇÕ´Ï´Ù. ¸¶Áö¸·±îÁö ÁÁÀº ±ÛÀÌ ³ª¿Ã ¼ö ÀÖµµ·Ï ÃÖ¼±À» ´ÙÇÏ°Ú½À´Ï´Ù.
HTTP
Ç»Á®(HTTP Fuzzer):
±×¸²
15. HTTP Ç»Àú
ȸé
HTTP
Ç»Àú(Fuzzer)´Â ÆíÁý±â ¹× ½º´ÏÆÛ(Sniffer)¿Í °ü°èÇÏ¿© ÀÌ¿ëÇÒ ¼ö ÀÖ°í,
ºñ½ÁÇÏ´Ù°í ÇÒ ¼ö ÀÖÀ» °Í ÀÔ´Ï´Ù. ÇÏÁö¸¸ Ç»Àú´Â ÀÌµé µµ±¸¿Í Â÷ÀÌ°¡ Àִµ¥,
Ç»Àú´Â º¯¼ö¿¡ ¹®Á¦ ÁÖÀÔÀ» ¸Å´º¾óÀÌ ¾Æ´Ñ ÀÚµ¿À¸·Î ÁÖÀÔÇÒ ¼ö ÀÖ´Ù¶ó´Â °ÍÀÔ´Ï´Ù. ǻ¡(Fuzzing)Àº ¹öÆÛ¿À¹öÇ÷οì(Buffer Overflow)¿¡ ´ëÇÑ ºê·çÆ® Æ÷½º(Brute Force) °Ë»ç¸¦ ºü¸£°í ½¬¿î ¹æ¹ýÀ¸·Î °¡´ÉÇÏ°Ô ÇÕ´Ï´Ù. ÀÌÀü ¹öÀüÀÇ Á¦Ç°¿¡¼µµ ÀÌ¿ëµÇ¾ú´ø µµ±¸·Î¼,
ÇØ´ç ¹öÀü¿¡¼µµ ǻ¡¿¡ ´ëÇÑ ´Ù¾çÇÑ ¼±ÅûçÇ×À» Á¦°øÇϸç,
ǻ¡ ÇÒ ¼ö ÀÖ´Â ´Ù¾çÇÑ ÇüÅÂÀÇ ¹®ÀÚ¿°ú ij¸¯ÅÍ ½ºÀ§Ä¡¸¦ »ý¼ºÇÒ ¼ö ÀÖµµ·Ï ÇÕ´Ï´Ù. ÀÚµ¿ÈµÈ ǻ¡À» Çѹøµµ ½ÃµµÇØ º¸Áö ¾ÊÀº »ç¶÷À̶ó¸é,
»ç¿ëÀÚ ÀÎÅÍÆäÀ̽º°¡ ¾à°£ È¥¶õ½º·¯¿ï ¼öµµ ÀÖ½À´Ï´Ù. ÀÌ´Â ÀÌÀü ¹öÀü¿¡¼µµ À̾߱⠵Ǿú´ø ºÎºÐÀÌÁö¸¸,
ÀÌ·¯ÇÑ ¹®Á¦´Â ¸Å´º¾óÀÇ ÀÚ½À¼¸¦ ÂüÁ¶ÇÏ¿© ¸î Â÷·Ê Å×½ºÆÃÀ» ÁøÇàÇØ º¸¸é,
½±°Ô ÀÌ¿ëÇÒ ¼ö ÀÖÀ½À» ¾Ë ¼ö ÀÖ½À´Ï´Ù. ÆíÁý±â¿Í ½º´ÏÆÛ°¡ ÇÔ²² Àֱ⠶§¹®¿¡,
Ç»Àú´Â ³ôÀº ÆòÁ¡À» ÁÙ ¼ö ÀÖ´Â ÁÁÀº µµ±¸¶ó°í ÇÒ ¼ö ÀÖ½À´Ï´Ù.
ÆòÁ¡
4
ÀÎÁõ °Ë»çµµ±¸(Authentication Tester):
±×¸²
16. ÀÎÁõ°Ë»çµµ±¸
ȸé
ÀÎÁõ°Ë»çµµ±¸´Â
ÀÌÀü¹öÀü¿¡¼µµ
È£ÆòÇß´ø
±â´ÉÀÔ´Ï´Ù. Á¤¸»
°¨ÅºÇÒ
¸¸
ÇÕ´Ï´Ù. ¹°·Ð
ÁÁÀº
À¥
»çÀÌÆ®
ÀÎÁõ
°Ë»ç
µµ±¸°¡
¸¹Áö
¾Ê¾Æ¼¶ó°í
ÀÌÀ¯¸¦
´Þ
¼öµµ
ÀÖÁö¸¸, ±×°Í
ÀÌ¿Ü¿¡µµ, ÇØ´ç
µµ±¸´Â
Á¤¸»
Àß
µ¿ÀÛÇϱâ
¶§¹®¿¡¶ó°í
´Ü¼¸¦
´Þ
¼ö
µµ
ÀÖ½À´Ï´Ù. º»
ÀÎÁõ
°Ë»çµµ±¸´Â HTTP ÀÎÁõ(Æ˾÷¹Ú½º
ÇüÅÂ)°ú HTML ÀÔ·ÂÆû, µÎ
°¡Áö¸¦
´Ù
°Ë»çÇÒ
¼ö
ÀÖ½À´Ï´Ù.
HTTP ÀÎÁõÀ»
°Ë»çÇÒ
¶§, ÇØ´ç
µµ±¸´Â
º¸´Ù
´õ
Á¤È®ÇÏ°Ô
µ¿ÀÛÇÕ´Ï´Ù. »ç¿ëÀÚ
À̸§
¸ñ·Ï°ú
¾ÏÈ£
¸ñ·Ï
±×¸®°í
ÀÎÁõ
½ÇÆзÎ
µÇµ¹·ÁÁø
¿¡·¯
¿ª½Ã
¼±ÅÃÇÒ
¼ö
ÀÖ½À´Ï´Ù. ÀÌ
¸¶Áö¸·
¿É¼ÇÀº
´ÜÁö
¿ÀŽ
¸¸À»
ÀüÇØÁÖ´Â
°Í
¸»°íµµ
ºñ
Ç¥ÁØ
ÀÀ´äÀ»
ÁÖ´Â
»çÀÌÆ®¿¡
°Ë»ç¸¦
ÇÒ
¼ö
ÀÖµµ·Ï
Çϱ⿡
´õ
Áß¿äÇÏ´Ù°í
ÇÒ
¼ö
ÀÖ½À´Ï´Ù.
HTML ÀԷ¾ç½ÄÀº
¾à°£
´Ù¸¨´Ï´Ù. ¾ÆÅ¥³×ƽ½º´Â
¾ç½ÄÀÌ
µé¾îÀÖ´Â
ÆäÀÌÁö¸¦
ºÒ·¯µéÀÌ°í, ¾î¶²
Çʵ尡
»ç¿ëÀÚ
À̸§°ú
¾ÏÈ£ÀÎÁö¸¦
ƯÁ¤ÇÒ
¼ö
ÀÖ½À´Ï´Ù. ¹°·Ð
ÀÚü
Á¦ÀÛµÈ
¿¡·¯
ÆäÀÌÁö¸¦
ƯÁ¤ÇÒ
¼öµµ
ÀÖ½À´Ï´Ù. ÀÌ´Â
¾î¶²
¿¡·¯Äڵ尡
¾ÆÅ¥³×ƽ½º¿¡
ÀüÇØÁö´ÂÁö¸¦
¾Ë·ÁÁÜÀ¸·Î½á
¸¶ÃÄÁú
¼ö
ÀÖ°í, ¶ÇÇÑ
¸®ÅÏ
ÆäÀÌÁö¿¡
Æ÷ÇÔµÈ
¹®ÀÚ¿À»
°Ë»öÇÏ¿©
¾ÆÅ¥³×ƽ½º¿¡
ÁöÁ¤ÇÏ¿©
¼öÇàÇÒ
¼öµµ
ÀÖ½À´Ï´Ù. ¿¹¸¦
µé¾î, ÇØ´ç
ÆäÀÌÁö°¡
½ÇÆп¡
´ëÇؼ ¡°Login Failed¡±¶ó°í
¸»ÇÑ´Ù¸é, ¾ÆÅ¥³×ƽ½º¿¡
»óÀÀÇÏ´Â
¹®ÀÚ¿
¶Ç´Â
Á¤±Ô½ÄÀ¸·Î
¾Ë·ÁÁÙ
¼ö
ÀÖ½À´Ï´Ù. ÀÌ´Â
ÀÚü
Á¦ÀÛÇÑ
¿¡·¯¸Þ½ÃÁö¸¦
ÀÌ¿ëÇÏ´Â
ÆäÀÌÁö°¡
¸¹¾ÆÁú¼ö·Ï
´õ¿í
¾öû³ª°Ô
¸¹Àº
¿ÀŽÀ»
ÁÙÀÏ
¼ö
ÀÖ½À´Ï´Ù.
Àü¹ÝÀûÀ¸·Î
ÇØ´ç
ÀÎÁõ
°Ë»çµµ±¸´Â
º»
Á¦Ç°¿¡
´õÇØÁ®
¾ÆÁÖ
ÈǸ¢ÇÏ´Ù
ÇÒ
¼ö
ÀÖ½À´Ï´Ù. ÀÌ°Í°ú
´õºÒ¾î
ã¾Æº¸°í
½ÍÀº
¸î¸î
±â´ÉÀÌ
´õ
ÀÖÁö¸¸, À̵éÀº
´õ
¸¹Àº
¿µÇâÀ»
ÁÖÁö
¸øÇÏ´Â
±â´Éµé
ÀÔ´Ï´Ù. ÇÏÁö¸¸, ÀÌÀü
¹öÀü¿¡
ºñÇØ
´õ
¸¹Àº
°³¼±°ú
³ª¾ÆÁø
Á¡ÀÌ
¾ø¾î¼, ¹«³ÇÑ
ÆòÁ¡À»
¹Þ°Ô
µÇ¾ú½À´Ï´Ù.
ÆòÁ¡ 3.5
°á°ú ºñ±³µµ±¸(Compare Results):
±×¸²
17. °á°ú
ºñ±³µµ±¸
ȸé
°á°ú ºñ±³µµ±¸´Â ÀÌÀü ¹öÀü¿¡¼ Á¦°øµÇ¾ú´ø °Í°ú º°¹Ý Â÷ÀÌ°¡ ¾ø½À´Ï´Ù. »ç¿ëÀÚ ÆíÀǼºÀ» À§ÇÑ µµ±¸À̸ç,
±âÁ¸ÀÇ Á¡°Ë°ú »õ·Î¿î Á¡°ËÀ» ºñ±³ÇÏ¿© ¼öÁ¤ÀÛ¾÷ÀÌ ÀÌ·ç¾îÁ³´ÂÁö,
ÀÌ·ç¾î Á³´Ù¸é,
¾î¶² Ãë¾àÁ¡À» ¼öÁ¤Çß´ÂÁö È®ÀÎÇÒ ¼ö ÀÖµµ·Ï °ü¸®ÀÚ È¤Àº ´ã´çÀÚ°¡ È®ÀÎÇÒ ¼ö ÀÖ´Â ±â´ÉÀ» Á¦°øÇÕ´Ï´Ù.
ÀÎÅÍÆäÀ̽º´Â °£´ÜÇÕ´Ï´Ù. µÎ °³ÀÇ ´Ù¸¥ Ãë¾àÁ¡ Á¡°Ë °á°ú¸¦ ºÒ·¯µéÀÌ°í,
À̵éÀ» Ãë¾àÁ¡°ú ÆÄÀÏ ±¸Á¶¸¦ ÅëÇؼ ºñ±³ÇÒ °ÍÀÎÁö ȤÀº °¢°¢À» ÅëÇØ ºñ±³ÇÒ °ÍÀÎÁö¸¦ ¼±ÅÃÇÏ°í ³ª¸é,
Ãë¾àÁ¡°ú ÆÄÀÏ ±¸Á¶¿¡ ´ëÇÑ Â÷ÀÌÁ¡À» µ¿ÀÏÇÑÁö ±×·¸Áö ¾ÊÀºÁö·Î Ç¥½ÃÇØ ÁÖ´Â ±â´ÉÀ» °¡Áö°í ÀÖ½À´Ï´Ù.
Ưº°È÷ ±â´É»óÀÇ ¿Ï¼ºµµ ȤÀº ¶Ù¾î³ Á¡À» Á¦°øÇÏÁö ¾Ê±â¿¡,
ÆòÁ¡¿¡ Å« ¿µÇâÀ» ÁÖÁö´Â ¸øÇß½À´Ï´Ù.
ÆòÁ¡
3
À¥ ¼ºñ½º ½ºÄ³³Ê(Web
Services Scanner):
±×¸²
18. ˴
¼ºñ½º
½ºÄ³³Ê
Ãʱâ
ȸé
À¥ ¼ºñ½º ½ºÄ³³Ê´Â ¸¹Àº ±â¾÷°ú Á¶Á÷µéÀÌ Á¤º¸ÀÇ ÀÌ¿ë°ú ÀÎÅͳÝÀÇ ½ÇÇàÀýÂ÷¸¦ °³¼±Çϱâ À§Çؼ ÀÌ¿ëÀÌ Áõ°¡ÇÏ°í ÀÖ´Â À¥ ¼ºñ½º ±¸Á¶¿¡ ´ëÇÑ Á¡°ËÀ» À§ÇØ µµÀÔµÈ µµ±¸ÀÔ´Ï´Ù. ÀÌÀü¹öÀü¿¡¼´Â ÀϹÝÀûÀÎ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ½ºÄ³³Ê¸¸ÀÌ Á¸ÀçÇßÁö¸¸,
ÇØ´ç ¹öÀü¿¡¼´Â ¿öÄ¡ÆÄÀ̾îÀÇ
AppScanÀ̳ª ½ºÆÄÀÌ´ÙÀ̳ª¹Í½ºÀÇ
WebInspectó·³ À¥ ¼ºñ½º¿¡ ´ëÇÑ Á¡°ËÀÌ °¡´ÉÇÑ À¥ ¼ºñ½º ½ºÄµÀ» Ãß°¡ÇÏ¿´½À´Ï´Ù.
À¥ ¼ºñ½º´Â ´Ù¸¥ ÀÎÅͳݿ¡ Á¾¼ÓµÈ ½Ã½ºÅÛ°ú °°ÀÌ »õ·Î¿î ¾Ç¿ëÀÌ °¡´ÉÇÑ Ãë¾àÁ¡µé°ú º¸¾È °¨»çÀÇ Çʿ伺ÀÌ Áõ°¡µÇ°í ÀÖ½À´Ï´Ù. ÀÌ¿¡ À¥ ¼ºñ½º ½ºÄ³³Ê´Â À¥ ¼ºñ½º¿¡ ´ëÇÑ ÀÚµ¿ÈµÈ Ãë¾àÁ¡ Á¡°ËÀ» ½ÇÇàÇÏ°í,
Á¡°Ë °á°ú¿¡ ´ëÇÑ ¼¼ºÎ º¸¾È º¸°í¼¸¦ »ý¼ºÇÏ´Â ±â´ÉÀ» °¡Áö°í ÀÖ½À´Ï´Ù.
Á¡°Ë ¹æ½ÄÀº °£´ÜÇÏ°Ô ±¸¼ºµÇ¾î ÀÖ½À´Ï´Ù.
1. À¥ ¼ºñ½º ½ºÄ³³Ê ½ÃÀÛ
2. »õ·Î¿î Á¡°Ë ¼±ÅÃ
3. ¿Â¶óÀÎ µÇ¾îÀְųª ·ÎÄÿ¡ Á¸ÀçÇÏ´Â WSDLÀ» ¼±ÅÃÇÏ°í Á¡°Ë ÇÁ·ÎÆÄÀÏÀ» ¼±ÅÃ
4. Á¡°ËÇϱ⠿øÇÏ´Â À¥ ¼ºñ½º, Æ÷Æ® ŸÀÔ ¹× ¸Þ¼Òµå¸¦ ¼±ÅÃ
5. Á¡°Ë µ¿¾È¿¡ ½ºÄ³³Ê¿¡¼ ÀÌ¿ëÇÒ ¼ö ÀÖ´Â ÀÔ·Â °ªµéÀ» µî·Ï(¿É¼Ç)
6. À¥ ¼ºñ½º Á¡°Ë ¼³Á¤ ³»¿ë ¿ä¾àÀ» º¸¿©ÁÜ
7. Á¡°Ë ½ÇÇà
±×¸²
19. ˴
¼ºñ½º
½ºÄ³³Ê
ÀÛ¾÷
ȸé
Á¡°Ë °á°ú´Â ±×¸² 19ó·³, Æ®¸®±¸Á¶¸¦ ÅëÇؼ º¸¿©ÁÝ´Ï´Ù. ¿ÞÂÊÀÇ Æ®¸®³ëµå¸¦ È®ÀåÇÏ¿©, ÇÊ¿äÇÑ ºÐ¼® Á¤º¸¸¦ È®ÀÎÇϱâ À§Çؼ´Â È®ÀåµÈ Æ®¸® ³ëµå¸¦ Ŭ¸¯ÇÏ¿©, ¿À¸¥ÂÊÀÇ Á¤º¸ â¿¡ ÀÚ¼¼ÇÑ Á¤º¸¸¦ È®ÀÎÇÒ ¼ö ÀÖÀ¸¸ç, º¸°í¼ ±â´ÉÀ» ÀÌ¿ëÇÏÁö ¾Ê°íµµ Ãë¾àÁ¡¿¡ ´ëÇÑ ³»¿ëÀ» È®ÀÎÇÏ°í, ÇØ´ç Ãë¾àÁ¡À» ÅëÇØ ¾î¶² ÆäÀÌÁö¿¡¼ °ø°ÝÀÌ ÀÌ·ç¾îÁú ¼ö ÀÖ´Â Áö¿Í, ÇØ´ç µµ±¸¿Í À¥ ¼¹ö °£¿¡ ±³È¯µÈ ¼¼ºÎ ¿äû ¹× ÀÀ´ä³»¿ëÀ» È®ÀÎÇÒ ¼ö ÀÖ°í, Ãë¾àÇÑ ÆäÀÌÁö¸¦ º¸È£Çϱâ À§ÇÑ ¼¼ºÎ ¼öÁ¤±â¹ýÀ» È®ÀÎÇÒ ¼ö ÀÖ½À´Ï´Ù.
°£´ÜÇÏ°í Æí¸®ÇÑ Á¡°Ë ±â´ÉÀ» Á¦°øÇÏ´Â À¥ ¼ºñ½º ½ºÄ³³Ê´Â óÀ½ µµÀÔµÈ ±â´ÉÀÓ¿¡µµ ºÒ±¸ÇÏ°í ¶Ù¾î³ À̿뼺À¸·Î ÀÎÇØ ³ôÀº ÆòÁ¡À» ¹ÞÀ» ¼ö ÀÖ¾ú½À´Ï´Ù.
ÆòÁ¡
4
À¥ ¼ºñ½º ÆíÁý±â(Web
Services Editor)
±×¸²
20. ˴
¼ºñ½º
ÆíÁý±â
ȸé
À¥ ¼ºñ½º ÆíÁý±â´Â ¿Â¶óÀÎ ¶Ç´Â ·ÎÄÃ
WSDLÀ» ÀÛ¼ºÇÒ ¼ö ÀÖµµ·Ï ÇÕ´Ï´Ù. ÆíÁý±â´Â ½ÅÅýº¸¦ °Á¶ÇÏ¿© ¸ðµç ¾ð¾î¿¡ ´ëÇÑ ½¬¿î ÆíÁýÀÌ °¡´ÉÇÑ ±â´ÉÀ» Á¦°øÇÏ°í,
À̸¦ ÅëÇØ
SOAP Çì´õ¿Í ¸Å´º¾ó °ø°ÝÀ» »ý¼ºÇÒ ¼ö ÀÖµµ·Ï ÇÕ´Ï´Ù.
À¥ ¼ºñ½º
SOAP ¸Þ½ÃÁöÀÇ ÆíÁý°ú Àü¼ÛÀº ÀϹÝÀûÀÎ
HTTP ÆíÁý±â¸¦ ÅëÇØ ÀϹÝÀûÀÎ ¿äûÀ» º¸³»´Â ÀÛ¾÷°ú ¾ÆÁÖ ºñ½ÁÇÕ´Ï´Ù.
±×¸²
21. ˴
¼ºñ½º
ÆíÁý±âÀÇ WSDL ±¸Á¶
ȸé
±×¸²
22. ˴
¼ºñ½º
ÆíÁý±âÀÇ WSDL XML ±¸Á¶
º¸°í¼ ±â´É
±×¸²
23. º¸°í¼
»ý¼º±â
ȸé
º»
¹öÀü¿¡¼ÀÇ
º¸°í¼
»ý¼º±â´Â
ÀÌÀü¹öÀü°ú´Â
´Þ¸®
º°µµÀÇ
¾ÖÇø®ÄÉÀ̼ÇÀ¸·Î
Á¦°øµË´Ï´Ù. Á¡°ËµÈ
°á°úº¸°í¼´Â
ÃæºÐÇÒ
¸¸Å
Á¦°øµË´Ï´Ù. º»
º¸°í¼´Â
Àß
Á¤¸®µÇ¾î
ÀÖ°í, ½±°Ô
ÀÐÀ»
¼ö
ÀÖÀ¸¸ç, Áß¿äÇÏÁö
¾ÊÀº
Ãë¾àÁ¡µé¿¡
´ëÇØ
ºÎÀû´çÇÑ
µî±ÞÀ»
ÁÖÁö
¾Ê¾Ò½À´Ï´Ù. Àü¹ÝÀûÀÎ
Ãë¾àÁ¡Àº
´Ù¸¥
¸¹Àº
Á¡°Ëµµ±¸
Áß¿¡¼µµ
ºÒÇÕ¸®ÇÑ
°øÆ÷³ª
ÇൿÀ»
Á¶ÀåÇÏÁö
¾ÊÀ»
¸¸Å
ÀϹÝÀûÀÎ
»ç·Êó·³
º¸¿©Áý´Ï´Ù. ¶ÇÇÑ
ÀÌÀü¹öÀü¿¡¼´Â
º¸°í¼°¡
HTML ÇüÅÂÀÇ
¹®¼·Î¸¸
ÀúÀåµÉ
¼ö
ÀÖ¾ú´Âµ¥, »õ·Î¿î
¹öÀü¿¡¼´Â
´Ù¸¥
ÇüÅÂ(PDF, TXT, WORD, BMP)ÀÇ
¹®¼·Î
ÀúÀåÇÏ´Â
°ÍÀÌ
°¡´ÉÇϵµ·Ï
¸¸µé¾îÁ®
ÀÖ½À´Ï´Ù.
º¸°í¼
»ý¼º±â¿¡¼´Â
¾Æ´ÏÁö¸¸, º»
¸ðµâ¿¡¼´Â AVDL(Application Vulnerability Description Language)¿Í XML·Î
°á°ú¸¦
»ý¼ºÇÒ
¼ö
ÀÖ¾î, ´Ù¸¥
ºÎ°¡ÀûÀÎ
ÀÛ¾÷
¾øÀÌ
ÀԷµÈ
µ¥ÀÌÅ͸¦
º¸´Ù
È®ÀåµÈ
´Ù¸¥
º¸°í¼
µµ±¸·Î
ÀüÇØÁÙ
¹æ¹ýµµ
¾ø½À´Ï´Ù. ±âº»ÀûÀ¸·Î, ¾ÆÅ¥³×ƽ½º´Â
¸ðµç
µ¥ÀÌÅ͸¦ MS Access µ¥ÀÌÅͺ£À̽º¿¡
ÀúÀåÇÒ
¼ö
ÀÖ½À´Ï´Ù. Ȥ½Ã
¸¶ÀÌÅ©·Î¼ÒÇÁÆ®
¾×¼¼½º¸¦
ÀÌ¿ëÇÒ
¼ö
ÀÖ´Ù¸é, ¼ö¸¹Àº
´Ù¸¥
ÇüÅ·Î
ÀüÇØÁÙ
¼ö
ÀÖ½À´Ï´Ù.
º¸°í¼
»ý¼º±â¿¡´Â
ÀÌÀü
¹öÀü°ú´Â
¸¹ÀÌ
Â÷º°µÇ´Â
±â´ÉµéÀÌ
Ãß°¡µÇ¾î
ÀÖ½À´Ï´Ù. ¾Æ·¡¿¡´Â
Áö¿ø
µÇ´Â
º¸°í¼
¹×
º¸°í
±â´ÉÀÔ´Ï´Ù.
1. º¸°í¼
¹Ì¸®º¸±â
±â´É
2. º¸°í¼
¸¶¹ý»ç¸¦
ÅëÇÑ
񃧯
º¸°í¼
»ý¼º
±â´É
3. ÅÛÇø´À»
ÀÌ¿ëÇÑ
°³º°
º¸°í¼
»ý¼º
±â´É
A. °³¹ßÀÚ
º¸°í¼
B. °ü¸®ÀÚ
º¸°í¼
C. Ãë¾àÁ¡
º¸°í¼
4. ÄÄÇöóÀ̾ð½º(±ÔÁ¤ÀÌÇà) º¸°í¼
A. HIPPA(The Health Insurance Portability and Accountability
Act
B. OWASP TOP 10 2004
C. OWASP Top 10 2007
D. PCI(Payment Card Industry Data Security
Standard)
E. Sarbanes-Oxley Act of 2002
F. WASC(Web Application Security Consortium) Threat
Classification
5. Á¡°Ë
ºñ±³
º¸°í¼
6. ¿ù°£
Ãë¾àÁ¡
Åë°è
º¸°í¼
ÀÌ·¯ÇÑ º¸°í¼ ÅÛÇø´ ÀÌ¿Ü¿¡µµ, ¼³Á¤¿¡¼´Â Ãë¾àÁ¡ Á¡°Ë µ¥ÀÌÅÍ º£À̽º¸¦ È®ÀÎÇÒ ¼ö ÀÖ°í, º¸°í¼ ¼³Á¤ ¿É¼ÇÀ» ÅëÇؼ, »ðÀԵǴ ·Î°í¿Í º¸°í¼ Á¦¸ñ, ²¿¸®¸»°ú ÆäÀÌÁö ¼¼ÆÃÀ» »ç¿ëÀÚ°¡ ¼³Á¤ÇÒ ¼ö ÀÖµµ·Ï µÇ¾î ÀÖ½À´Ï´Ù.
º¸°í¼ »ý¼º±â´Â ´Ù¾çÇÑ ÅÛÇø´º° º¸°í¼ »ý¼º ¸¶¹ý»ç°¡ Áö¿øµÇ¾î¼ °£´ÜÇÑ Å¬¸¯À¸·Î º¸°í¼¸¦ »ý¼ºÇÒ ¼ö ÀÖ´Â ÆíÀǼºÀ» Á¦°øÇÏ°í ÀÖ½À´Ï´Ù.
´ÙÀ½Àº °¢Á¾ º¸°í¼µéÀÇ ¿¹Á¦ ȸéµé ÀÔ´Ï´Ù.
±×¸²
24. ÀϹÝ
º¸°í¼
¿¹Á¦
±×¸²
25. °³¹ßÀÚ
º¸°í¼
¿¹Á¦
±×¸²
26. °ü¸®ÀÚ
º¸°í¼
¿¹Á¦
±×¸²
27. Ãë¾àÁ¡
º¸°í¼
¿¹Á¦
±×¸²
28. ÄÄÇöóÀ̾ð½º(±ÔÁ¤ÀÌÇà) º¸°í¼
¿¹Á¦
±×¸²
29. Á¡°Ë
°á°ú
ºñ±³
º¸°í¼
¿¹Á¦
±×¸²
30. ¿ù°£
Ãë¾àÁ¡
Åë°è
º¸°í¼
¿¹Á¦
¾ÆÅ¥³×ƽ½º WVS V5ÀÇ °³¼±µÈ º¸°í¼ »ý¼º±âÀÇ ±â´ÉÀº ´Ù¸¥ Á¦Ç°°ú ºñ±³ÇÏ¿© ¼Õ»öÀÌ ¾ø°Å³ª ÆíÀÇÀûÀÎ ¸éÀ¸·Î º¸¾Æ °³¼±µÇ°í ¹ßÀüÇÑ ºÎºÐÀÌ ¸¹¾ÆÁ³½À´Ï´Ù. ¶ÇÇÑ ÀÌÀüÀÇ º¸°í¼¿¡¼´Â Á¦°øµÇÁö ¾Ê´ø °³¹ßÀÚ°¡ Àû¿ëÇÒ ¼ö ÀÖ´Â ¼öÁ¤ ±Ç°í¾ÈÀÌ Ãß°¡µÇ¾îÁ® ÀÖ´Â Á¡µîÀ» µé¾î ÁÁÀº ÆòÁ¡À» ÁÖ¾ú½À´Ï´Ù.
ÆòÁ¡
4.5
Àü¹ÝÀûÀÎ Á¦Ç° ÆòÁ¡
¶Ù¾î³ ±â´É,
»ç¿ëÀÇ ÆíÀǼº ±×¸®°í ºü¸¥ 󸮴ɷÂÀ¸·Î ÀÌÀü ¹öÀüÀÇ ¾ÆÅ¥³×ƽ½º´Â 4Á¡ÀÇ Àüü ÆòÁ¡À» ¹Þ¾ÒÁö¸¸,
ÇØ´ç ¹öÀüÀº ´Ù¾çÇÑ ±â´ÉÀÇ Ãß°¡¿Í °³¼±µÈ Á¡¿¡µµ ºÒ±¸ÇÏ°í
3.6À¸·Î ÀϹÝÀûÀÎ Á¦Ç°º¸´Ù ¾à°£ ³ªÀº ÆòÁ¡À» ¹Þ°Ô µÇ¾ú½À´Ï´Ù.
ÀåÁ¡:
l ÀÚü Á¦ÀÛµÈ ¿¡·¯ ÆäÀÌÁöµé¿¡ ´ëÇÑ Æ¯Á¤ ±â´É
l ÇϳªÀÇ ¾ÖÇø®ÄÉÀ̼ǿ¡ Á¶ÇÕµÈ ¸¹Àº ÆíÀǼºÀ» Á¦°øÇÏ´Â µµ±¸µé
l ³ôÀº Ãë¾àÁ¡ ŽÁöÀ²
l Áß¿äÇÏÁö ¾ÊÀº Ãë¾àÁ¡¿¡ ´ëÇÑ ÀûÀýÇÑ À§ÇùºÐ·ù
l ´Ù¾çÇÑ º¸°í¼ ÅÛÇø´ Á¦°ø ¹× °£´ÜÇÑ »ý¼º ±â´É
l À¥ ¼ºñ½º¸¦ ÀÌ¿ëÇÑ Ãë¾àÁ¡ Á¡°Ë ±â´É
´ÜÁ¡:
l ´ë»ó Á¡°Ë µµ±¸°¡ °¡Áö°í ÀÖ´Â ¹ö±×
l ÀÌÀü ¹öÀüº¸´Ù ´À·ÁÁø Á¡°Ë ¼Óµµ
l Æû ÀÔ·Â ÁßÁö ±â´ÉÀÇ ¹Ì µ¿ÀÛ
l ´Ù¾çÇÑ Á¡°ËÀÌ °¡´ÉÇÏÁö¸¸,
µ¿ÀÏ ÆĶó¸ÞÅÍ¿¡ ´ëÇÑ °ú´ÙÇÑ Ãë¾àÁ¡ °ËÃâ
l º¸¾È µµ±¸ÀÓ¿¡µµ ºÒ±¸ÇÏ°í ¶óÀ̼¾½º °ü¸®ÀÇ ¹ÌÈí
¿ä¾à
¾ÆÅ¥³×ƽ½º´Â ¹öÀüÀÌ ¹Ù²î¾î°¥¼ö·Ï º¸´Ù ³ªÀº µµ±¸·Î °³¼±µÇ°í ÀÖÀ½À» È®ÀÎÇÒ ¼ö ÀÖ´Â ÀüÇüÀûÀÎ ¿¹Ã³·³ º¸¿©Áý´Ï´Ù. ÀÌ´Â ÇØ´ç µµ±¸°¡ À¥ »çÀÌÆ®ÀÇ Ãë¾àÁ¡À» ¿Ïº®ÇÏ°Ô Ã£¾Æ º¼ ¼ö ÀÖµµ·Ï Á¦°øµÇ´Â ´Ù¾çÇÑ µµ±¸µéÀÇ ¸ðÀ½À» Çϳª·Î Æ÷ÇÔÇÑ ´ÜÀÏ ¾ÖÇø®ÄÉÀ̼ÇÀ¸·Î¼ º¸¿©Áú ¼ö ÀÖµµ·Ï ³ë·ÂÇßÀ½À» ¾Ë ¼ö ÀÖ°Ô ÇÕ´Ï´Ù. Àü¹ÝÀûÀ¸·Î ¾ÆÅ¥³×ƽ½º´Â ÀÌ·¯ÇÑ ¸ñÇ¥¸¦ ¼¼¿ì°í ´Þ·Á³ª°¡´Â °ÍÀ» º¸À̵µ·Ï ÇÏ°í ÀÖÁö¸¸,
ÇØ´ç µµ±¸°¡ ¿ÏÀüÈ÷ ÀÌ·¯ÇÑ ¸ñÇ¥¸¦ ÀÌ·ç±â À§Çؼ´Â Á¦Ç°ÀÇ Áß¿äÇÏÁö ¾ÊÀº ±â´É¿¡ ´õ¿í´õ ¸¹Àº ³ë·ÂÀ» °¡ÇØ ±× ºûÀ» ´õ ¹ß ÇÒ ¼ö ÀÖµµ·Ï ÇÒ ¼ö Àֱ⸦ ¹Ù¶ø´Ï´Ù.
¾ÕÀ¸·Î °³¼±À» À§ÇÑ Á¦¾È
¾ÆÅ¥³×ƽ½º´Â ÇØ´ç ¹öÀü¿¡ À̸£·¯¼´Â ´Ù¸¥ »ç¿ëÀÇ ¾î¶² Á¦Ç°°ú ºñ±³Çصµ ¶³¾îÁöÁö ¾Ê´Â Á¦Ç° ¼º´É°ú ´Ù¾çÇÑ ±â´ÉÀ» Á¦°øÇÏ´Â °·ÂÇÑ µµ±¸ÀÌÀÚ Á¦Ç°À̶ó´Â °ÍÀ» ¾Ë ¼ö ÀÖµµ·Ï ÇÏ°í ÀÖ°í,
¸î¸î Áß¿äÇÏÁö ¾ÊÀº ºÎ°¡ÀûÀÎ ±â´É°ú µµ±¸¸¦ ÀÌ¿ëÇØ ÈǸ¢ÇÑ µµ±¸¶ó´Â °ÍÀ» ½º½º·Î Áõ¸íÇÏ°í ÀÖ½À´Ï´Ù.
º» ¸®ºä¸¦ ÅëÇؼ ÇÊÀÚ´Â ¸î °¡Áö ¾ÆÅ¥³×ƽ½º¿¡ ¹Ù¶ó°íÀÚ ÇÏ´Â Á¡À» ¹ß°ßÇß½À´Ï´Ù. »ç¿ëÀÚ ÀÎÅÍÆäÀ̽º°¡ Ä£ »ç¿ëÀÚÀûÀÌ°í,
ÀÌ¿ëÀÌ Æí¸®ÇÔ¿¡µµ ºÒ±¸ÇÏ°í,
»ç¿ëÀÚ ÀÎÅÍÆäÀ̽º´Â ¿©ÀüÈ÷ ¼Õº¼ ÇÊ¿ä°¡ ÀÖ´Â °Í °°½À´Ï´Ù. ƯÈ÷ Ç»Àú(fuzzer)ÀÇ °æ¿ì°¡ ´ëÇ¥ÀûÀÔ´Ï´Ù. ÀÎÁõ°Ë»çµµ±¸ÀÇ °æ¿ì¿¡´Â ÀÌÀü ¹öÀü°ú °°ÀÌ HTML ºê·çÆ® Æ÷½º¸¦ ÁøÇàÇÏ´Â µ¿¾È »ç¿ëÀÚ À̸§ ¾øÀÌ ¾ÏÈ£¸¸À» ÁöÁ¤ÇÒ ¼ö ¾øµµ·Ï µÇ¾îÀÖ¾ú½À´Ï´Ù. ÀÌ´Â »ç¿ëÀÚ ¾ÆÀ̵𰡠¾øÀÌ ¾ÏÈ£¸¸ÀÌ ¿ä±¸µÇ´Â ¸î¸î °ü¸®ÀÚ¿ë À¥ ÆäÀÌÁö ȤÀº °Ô½ÃÆÇ¿¡ ½ÇÇàÀ» Çغ» °á°ú,
ÇØ´ç ÆäÀÌÁö¸¦ ºê·çÆ® Æ÷½ºÇÒ ¹æ¹ýÀ» ãÀ» ¼ö °¡ ¾ø¾î¼ ´õ¿í ´ä´äÇÏ°Ô ¸¸µé¾ú½À´Ï´Ù. ¶ÇÇÑ Å¸ÀӾƿô ±â°£°ú ´ÙÁß Ã³¸®¸¦ ¹Ù²Ù´Â ¹æ¹ý ¿ª½Ã ÀÌÀü ¹öÀü°ú µ¿ÀÏÇÏ°Ô µÇ¾îÀÖ¾î¼,
°³¼±À» ÁøÇàÇÏÁö ¾Ê¾ÒÀ½À» È®ÀÎÇÒ ¼ö ÀÖ¾î,
´ÙÀ½ ¹öÀü¿¡¼´Â ȯ¿µ ¹ÞÀ» ¼ö ÀÖ´Â ³»¿ëÀ¸·Î ¹Ù²î¾îÁ® Àֱ⸦ ±â´ëÇÏ°í ÀÖ½À´Ï´Ù. ÀÌ·¯ÇÑ ºÎºÐÀ» ¼öÁ¤ÇÔÀ¸·Î Á¡°Ë ¼ÓµµÀÇ Áõ°¡°¡ ÀÌ·ç¾î Áú °ÍÀ¸·Î º¸¿©Áý´Ï´Ù. ȯ¿µÇÒ ¸¸ÇÑ Á¡Àº ¼öÁý±â¿¡¼´Â ÀÌÀü ¹öÀü°ú ´Ù¸£°Ô ¼öÁýµÇ´Â ¸µÅ©ÀÇ depth¸¦ Á¦ÇÑÇÒ ¼ö ÀÖµµ·Ï ÇÏ¿´°í,
¿É¼ÇÀ» ÅëÇؼ ¼öÁýµÈ ¸µÅ© Áß¿¡¼ Á¡°ËÀÌ ÁøÇàÇÒ °Í°ú ÁøÇàÇÏÁö ¾ÊÀ» °ÍÀ» ¼±ÅÃÇÒ ¼ö ÀÖµµ·Ï ÇÑ °ÍÀº Çö¸íÇÑ ÆÇ´ÜÀ̾ú´Ù°í ¸»ÇØÁÖ°í ½ÍÀº °áÁ¤À̾ú½À´Ï´Ù. ÀÌ·¯ÇÑ ºÎºÐÀº ¼öÁý±â°¡ ¹«ÇÑ·çÇÁ¿¡ ºüÁ® ¹ß»ýÇÏ´Â ¹®Á¦¿¡ ´ëÇÑ ´ë¾ÈÀ¸·Î Ãß°¡µÈ °ÍÀ¸·Î º¸¿©Áö°í ÀÖ½À´Ï´Ù.
ÇöÀç ¾ÆÅ¥³×ƽ½º À¥ Ãë¾àÁ¡ ºÐ¼®µµ±¸´Â
(ÁÖ)¾ÆÀ̽ÃÅ¥¾î¿¡¼ Á¦Ç°¿¡ °üÇÑ ¸ðµç ±â¼ú Áö¿ø°ú ÆǸŸ¦ ´ã´çÇÏ°í ÀÖ½À´Ï´Ù. º» ÇÊÀÚÀÎ Jason Lee´Â ´Ù¾çÇÑ À¥ Ãë¾àÁ¡ ºÐ¼®µµ±¸¿¡ °üÇÑ ºÐ¼®°ú ÄÁ¼³ÆÃÀ» ´ã´çÇÏ°í ÀÖÀ¸¸ç,
¾ÕÀ¸·Î º¸´Ù ¸¹Àº À̾߱âµé·Î ´Ù¾çÇÑ µ¶ÀÚµéÀ» ã¾Æ°¥ °èȹÀÔ´Ï´Ù.
Áö³´Þ¿¡ ¹öÀü
5·Î ¸ÞÀÌÀú ¾÷±×·¹À̵尡 µÈ ¾ÆÅ¥³×ƽ½º´Â,
¸¸
1³â ¸¸¿¡ ¾÷±×·¹À̵尡 ÀÌ·ç¾îÁ³½À´Ï´Ù. ´Ù¸¥ µµ±¸µéÀÌ
6°³¿ù ¸¶´Ù ÁÖ¿ä ¾÷±×·¹À̵带 ÁøÇàÇÏ´Â °Í¿¡ ºñÇؼ´Â ¾Æ½¬¿î Á¡ÀÌ ÀÖÀ¸³ª,
¹öÀü
4¿¡¼
5·Î ¾÷±×·¹ÀÌµå µÇ±â À§Çؼ
6¿ùÀ̶ó´Â ±â°£À» ÅëÇؼ Áß°£ ´Ù¸®°¡ µÇ´Â 0.5
¾÷±×·¹À̵带 ÇÏ´Â °Í°ú ºñ±³ÇÏ¿© º°¹Ý Â÷ÀÌ°¡ ¾øÀ¸¹Ç·Î,
ÀÏ´ÜÀº Âü°í ±â´Ù·Á º¼ ¼ö ÀÖÀ» °Å¶ó´Â »ý°¢µµ µì´Ï´Ù. ÀÌÀüÀÇ ¸®ºä¸¦ ÅëÇؼ,
°¢Á¾ µµ±¸µéÀÇ ¼º´É°ú Á¤È®µµ Çâ»ó ±×¸®°í ¸®Æ÷Æà µµ±¸ÀÇ °³¼±ÀÌ ÀÌ·ç¾î Áú °ÍÀ̶ó´Â ¿¹»óÀÌ µé¾î ¸ÂÀº ¾ÆÅ¥³×ƽ½º WVS ¹öÀü 5.
´ÙÀ½¿¡´Â ¾î¶² »õ·Î¿î °³¼±µÈ ³»¿ëÀ¸·Î ¿ì¸®¿¡°Ô ´Ù°¡¿ÃÁö ±â´ë°¡ µË´Ï´Ù.
±Ã±ÝÇϽŠ»çÇ×ÀÌ ÀÖÀ¸½Ã´Ù¸é, jaisonyi@hotmail.com À¸·Î ¿¬¶ô Áֽñ⠹ٶø´Ï´Ù.