°ËÁõµÈ OWASP CRS ±ÔÄ¢À» »ç¿ëÇؼ
OWASP Top 10¿¡¼ ¹ßÇ¥µÈ À¥ Ãë¾àÁ¡¿¡ ´ëÇÑ
ÀͽºÇ÷ÎÀÕ °ø°ÝÀ» ŽÁöÇÏ°í Â÷´ÜÇÕ´Ï´Ù.
¼¹ö »çÀÌµå ¿¡ÀÌÀüÆ® ¼ÒÇÁÆ®¿þ¾î¸¦ ¼³Ä¡ÇÏ¿© À¥ ¾îÇø®ÄÉÀ̼Ç
°ø°ÝÀ» ŽÁöÇÏ°í Â÷´ÜÇÕ´Ï´Ù.
´ë±Ô¸ð À¥ ¼¹ö ȯ°æ¿¡¼µµ È¿À²ÀûÀ¸·Î °ü¸®ÇÒ ¼ö ÀÖµµ·Ï
Ŭ¶ó¿ìµå Áß¾Ó°ü¸®½Ã½ºÅÛÀ» Á¦°øÇÕ´Ï´Ù.
À¥¼¹ö 󸮷®ÀÌ Áõ°¡Çصµ ½Å±Ô À¥¹æȺ® Çϵå¿þ¾î Àåºñ ¶Ç´Â À¥¹æȺ® °¡»ó¸Ó½Å
¾÷±×·¹À̵尡 ºÒÇÊ¿äÇÏ¸ç ±âÁ¸ ³×Æ®¿öÅ© ±¸¼º ±×´ë·Î »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
¶ÇÇÑ, Ŭ¶ó¿ìµå·Î À¥ Æ®·¡ÇÈÀ» Àü¼ÛÇؼ °Ë»çÇÏ´Â ÇÁ·Ï½Ã ¹æ½ÄÀÌ ¾Æ´Ï±â ¶§¹®¿¡
´ç»çÀÇ Å¬¶ó¿ìµå Áß¾Ó°ü¸®½Ã½ºÅÛ¿¡ Àå¾Ö°¡ ¹ß»ýÇصµ °í°´ÀÇ À¥ ¼ºñ½º Á¢¼ÓÀº
ÁߴܾøÀÌ Áö¼ÓµË´Ï´Ù.
Ŭ·ç¿ÂÀÇ WEBCastle(À¥Ä³½½)Àº Á÷°üÀûÀÎ Áß¾Ó°ü¸®½Ã½ºÅÛ¿¡¼ Web Firewall Agent ¼ÒÇÁÆ®¿þ¾î¸¦ ´Ù¿î·ÎµåÇÏ¿© ½±°Ô ¼³Ä¡ÇÒ ¼ö ÀÖ½À´Ï´Ù.
WEBCastleÀº OWASPÀÇ TOP 10 À§Çù¿¡ ´ëÇØ Á¤È®ÇÑ ±ÔÄ¢ ±â¹Ý ŽÁö ¹× Â÷´Ü ±â´ÉÀ» Á¦°øÇÕ´Ï´Ù.
±âÁ¸ ·¹°Å½Ã À¥¼¹ö ¶Ç´Â Ŭ¶ó¿ìµå»ó °¡»ó¸Ó½Å¿¡¼ ½ÇÇàµÉ ¼ö ÀÖ½À´Ï´Ù.
WEBCastleÀº À§Çù ºÐ¼®À» À§ÇØ À¥ Æ®·¡ÇÈÀ» Ŭ¶ó¿ìµå·Î Àü¼ÛÇÏÁö ¾Ê±â ¶§¹®¿¡ ¼ºñ½ºÁ¦°ø»ç ÀÎÇÁ¶ó ÇØÅ·¿¡ µû¸¥
Á¤º¸ À¯Ãâ¿¡ ´ëÇؼµµ ¾ÈÀüÇÕ´Ï´Ù.
°ËÁõµÈ OWASP CRS ±ÔÄ¢À» »ç¿ëÇؼ
OWASP Top 10¿¡¼ ¹ßÇ¥µÈ À¥ Ãë¾àÁ¡¿¡ ´ëÇÑ
ÀͽºÇ÷ÎÀÕ °ø°ÝÀ» ŽÁöÇÏ°í Â÷´ÜÇÕ´Ï´Ù.
±âÁ¸ ³×Æ®¿öÅ© ÅäÆú·ÎÁö¸¦ º¯°æÇÏÁö ¾Ê°í
DNS ¼¹öµµ º¯°æÇÒ ÇÊ¿ä ¾øÀÌ °£ÆíÇÏ°Ô
¼³Ä¡ÇÏ°í Áï½Ã »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
ÅëÇÕ ´ë½Ãº¸µå¿Í ÅëÇÕ º¸°í¼¸¦ Á¦°øÇϸç
Á÷°üÀûÀÎ UI·Î ÆíÀǼºÀ» Á¦°øÇÕ´Ï´Ù.
°í±Þ »ç¿ëÀÚ ¹× Áß¾Ó°üÁ¦¸¦ À§ÇÑ API ¿¬µ¿µµ
Áö¿øÇÕ´Ï´Ù.
À¥ ¼¹ö 󸮷®ÀÌ Áõ°¡ÇÏ´õ¶óµµ À¥¹æȺ®¿¡
´ëÇÑ Ãß°¡ ºñ¿ë¾øÀÌ µ¿ÀÏÇÑ ¶óÀ̼±½º
¿ä±ÝÀ¸·Î »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
À¥ Æ®·¡ÇÈÀ» ´ç»ç Ŭ¶ó¿ìµå Ç÷§ÆûÀ¸·Î
¿ìȸÇÏÁö ¾Ê±â ¶§¹®¿¡ ´ç»ç Ç÷§Æû Àå¾Ö
½Ã¿¡µµ °í°´ÀÇ À¥¼ºñ½º Á¢¼ÓÀº Áö¼ÓµË´Ï´Ù.
À¥ ÇØÅ· ºÐ¼®À» À§ÇØ À¥ Æ®·¡ÇÈÀ» ´ç»ç
Ç÷§ÆûÀ¸·Î Àü¼ÛÇÏÁö ¾Ê±â ¶§¹®¿¡
¸¸¿¡ Çϳª ´ç»ç Ç÷§ÆûÀÌ ÇØÅ·µÇ´õ¶óµµ
°í°´ Á¤º¸À¯Ãâ ¿°·Á´Â ¾ø½À´Ï´Ù.
OWASP Top 10 - 2017 | WEBCastle |
---|---|
A1:Injection | |
A2:Broken Authentication | |
A3:Sensitive Data Exposure | |
A4:XML External Entities (XXE) | |
A5:-Broken Access Control | |
A6:-Security Misconfiguration | |
A7:-Cross-Site Scripting (XSS) | |
A8:-Insecure Deserialization | |
A9:-Using Components with Known Vulnerabilities | |
A10:-Insufficient Logging & Monitoring |
°ËÁõµÈ OWASP CRS ±ÔÄ¢ ¼¼Æ®¸¦ »ç¿ëÇÏ¿© °¡Àå Áß¿äÇÏ°í
Ä¡¸íÀûÀÎ 10°¡Áö ÁÖ¿ä À¥ ¾îÇø®ÄÉÀÌ¼Ç º¸¾È À§ÇùÀ» ½Ç½Ã°£À¸·Î
ŽÁöÇÏ°í Â÷´ÜÇÕ´Ï´Ù.
¶ÇÇÑ, °í±Þ »ç¿ëÀÚ¸¦ À§ÇÑ »ç¿ëÀÚ Á¤ÀÇ ±ÔÄ¢À» ÀÛ¼ºÇÒ ¼ö µµ
ÀÖ½À´Ï´Ù.
°í°´Àº Á÷Á¢ º¸¾È ¸ðµå¸¦ º¯°æÇؼ ŽÁö ÈÄ °ø°Ý¿¡ ´ëÇÑ Â÷´Ü ¿©ºÎ¸¦ ¼³Á¤Çϰųª ±âº»
¼³Á¤¸¸À¸·Îµµ È¿°úÀûÀÎ º¸È£¸¦ ¹ÞÀ» ¼ö ÀÖ½À´Ï´Ù.
¿¡ÇÁ¿ø½ÃÅ¥¸®Æ¼ÀÇ ±â¼ú¿¬±¸¼Ò¿Í ¼ºñ½ºR&D¼¾ÅÍ¿¡¼´Â Á¤±â ¹× ºñÁ¤±âÀûÀÎ ¾÷µ¥ÀÌÆ®¸¦
ÅëÇؼ ³¯·Î ÁøÈÇÏ´Â ½Å•º¯Á¾ Ãë¾àÁ¡ °ø°Ý¿¡ ´ëÀÀÇÏ°í ÀÖ½À´Ï´Ù.
»ç¿ëÀÚ °¡ÀÔ ÈÄ °ü¸®ÆäÀÌÁö¿¡¼ ¿¡ÀÌÀüÆ® ¼ÒÇÁÆ®¿þ¾î¸¦
´Ù¿î·ÎµåÇÏ¿© À¥¼¹ö¿¡ ¼³Ä¡ÇÏ°í À¥ º¸¾ÈÀ» Áï½Ã È°¼ºÈ
ÇÒ ¼ö ÀÖ½À´Ï´Ù.
À¥¹æȺ®À» »ç¿ëÇϱâ À§ÇÑ DNS ¼¹ö ¼³Á¤ º¯°æ,
Çϵå¿þ¾î ¼³Ä¡¸¦ À§ÇÑ ³×Æ®¿öÅ© ÅäÆú·ÎÁö º¯°æ ¹× Áß´Ü,
À¥¹æȺ® ¼³Ä¡¸¦ À§ÇÑ °¡»ó¸Ó½Å ÀÓ´ë µî ¹ø°Å·Î¿î ÀÛ¾÷°ú
Ãß°¡ ºñ¿ë¾øÀÌ »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
ÇÁ·Ï½Ã ¹æ½ÄÀÇ À¥ ¹æȺ® ¼ºñ½º´Â DNS ¼¹ö»óÀÇ À¥¼¹ö IPÁÖ¼Ò¸¦ º¯°æÇϸé ÀÎÅͳݿ¡
ÀüÆĵǴµ¥ ¼ö ½Ã°£ÀÌ ¼Ò¿äµÉ ¼öµµ ÀÖ½À´Ï´Ù.
´ç»çÀÇ ¼ÒÇÁÆ®¿þ¾î ±â¹Ý À¥ ¹æȺ®Àº ¸î ÃÊ¿¡¼ ¸î ºÐ¸¸ÀÇ ¼³Ä¡ ÀÛ¾÷ ÈÄ º¸¾È ±â´ÉÀ» Áï½Ã
»ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
Ŭ¶ó¿ìµå Áß¾Ó°ü¸®½Ã½ºÅÛÀ» ±¸ÃàÇÏ¿© °í°´ÀÌ »ç¿ëÇÏ½Ç ¼ö
ÀÖµµ·Ï Á¦°øÇϴ Ŭ¶ó¿ìµå ±â¹Ý ¼ºñ½ºÀÔ´Ï´Ù.
±×·¯³ª, °í°´ÀÇ À¥ »çÀÌÆ®·Î Á¢¼ÓÇÏ´Â À¥ Æ®·¡ÇÈÀº Ŭ¶ó¿ìµå Ç÷§ÆûÀ¸·Î Àü¼ÛµÇÁö ¾Ê±â ¶§¹®¿¡, ´ç»çÀÇ Å¬¶ó¿ìµå Ç÷§Æû
Àå¾Ö´Â °í°´ÀÇ À¥ ¼ºñ½º Á¢¼Ó¿¡ ¾Æ¹«·± ¹®Á¦¸¦ ÀÏÀ¸Å°Áö ¾Ê½À´Ï´Ù.
À¥ ÇØÅ· °ø°ÝÀÇ Å½Áö ¹× Â÷´ÜÀº À¥ ¼¹ö ³»ºÎ¿¡¼ 󸮵˴ϴÙ.
À¥ ÇØÅ· ºÐ¼®À» À§ÇØ À¥ Æ®·¡ÇÈÀ» Ŭ¶ó¿ìµå Ç÷§ÆûÀ¸·Î Àü¼ÛÇϰųª ÀúÀåÇÏÁö ¾Ê±â
¶§¹®¿¡ ¼ºñ½º Ç÷§ÆûÀÇ ¿î¿µ ¿À·ù³ª ÇØÅ·À» ÅëÇØ ¹Î°¨ÇÑ À¥ Æ®·¡ÇÈÀÌ
¿ÜºÎ·Î °ø°³µÇ¾î ¹ß»ýÇÏ´Â Á¤º¸ À¯Ãâ·Î ºÎÅÍ ¾ÈÀüÇÕ´Ï´Ù.
°í°´ÀÇ À¥ »çÀÌÆ® Æ®·¡ÇÈÀ» ¿ìȸÇÏ°í ºÐ¼® ó¸®Çϱâ À§ÇÑ ´ë±Ô¸ð
Ŭ¶ó¿ìµå ÀÎÇÁ¶ó¸¦ »ç¿ëÇÏÁö ¾ÊÀ¸¸ç, °í°´ ³×Æ®¿öÅ©¿¡ ¼³Ä¡Çϱâ
À§ÇÑ Àü¿ë Çϵå¿þ¾î Àåºñ¸¦ ÇÊ¿ä·Î ÇÏÁö ¾Ê½À´Ï´Ù.
´ç»ç°¡ Á÷Á¢ °³¹ßÇÑ ¼ÒÇÁÆ®¿þ¾î¸¸ÀÌ ÇÊ¿äÇϱ⠶§¹®¿¡
ÇÕ¸®ÀûÀÎ °¡°ÝÀ¸·Î Á¦°øÀÌ °¡´ÉÇÕ´Ï´Ù.
À¥ ¼¹ö Çϵå¿þ¾î »ç¾ç Áõ¼³ ¹× ³×Æ®¿öÅ© ´ë¿ª È®´ë µîÀ¸·Î À¥ Æ®·¡ÇÈ Ã³¸®·®ÀÌ
Áõ°¡ÇÏ´õ¶óµµ µ¿ÀÏÇÑ ¶óÀ̼±½º ºñ¿ëÀ¸·Î »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
¹Ý¸é Çϵå¿þ¾î ±â¹Ý ¾îÇöóÀ̾ð½º, ¼ÒÇÁÆ®¿þ¾î ±â¹Ý °¡»ó ¾îÇöóÀ̾ð½º,
ÇÁ·Ï½Ã ¹æ½ÄÀÇ ¼ºñ½º¸¦ »ç¿ëÇÏ´Â °æ¿ì ÀǵµÇÏÁö ¾ÊÀº »ó´çÇÑ Ãß°¡ ºñ¿ëÀÌ
¹ß»ýÇÒ ¼öµµ ÀÖ½À´Ï´Ù.