국방 인트라넷의 취약성을 고려한 사이트 구축방안
A Secure Design of Web Site in the Korean Defense Network
초록/요약
인터넷 웹사이트의 취약성으로 알려진 10여개의 취약성에 대하여 인트라넷 홈페이지/웹 어플리케이션에 대하여 적용하여 취약성을 점검한 결과 취약 빈도수가 제일 많은 5개의 주요 취약성으로 구분하였다. 주요 취약성에는 전자결제 SSO취약성, XSS 취약성, 제로보드 취약성,파일 업로드 취약성, 파일 다운로드 취약성이었다. 이러한 5대 주요 취약성에 대한 문제점을 해결하고자 원인분석 및 대책을 강구하였다. 주요 취약성과 개발 설계 및 방향의 관계를 분석한 결과, 기획 및 설계단계에서의 원인이 있는 것으로 확인이 되어 개발 설계지침을 3가지로 분류를 하여 제안을 하였다. 이에 대한 설계지침으로는 입력 검증, 식별 및 인증, 접근통제로 구분하였다. 이러한 3대 개발 설계지침을 기반으로 하여 개발을 할 경우 주요 취약성에 대하여 사전 보완이 가능하며 국방 인트라넷 기반의 안전한 웹사이트 개발이 이루어 질 것으로 기대한다.
more초록/요약
In this paper, we analysed the causes and the solutions of the main 5 valunabilities: electron settlement SSO vulnerability, XSS vulnerability, zero board vulnerability, file upload and download vulnerability, which have the hightest frequency among the known valunabilities of the internet web site. As we analysed the relation between the main vulnerabilities and the direction/plan of the development, we found out that the problems are being caused during these steps. Therefore, we suggest the 3 classified categories of the development plan guide such as input verification, identification and/or authorization, and access controls. If developed based upon these guidelines, repletion in advance could be possible and we also expect the safety of the website development in the Korean defense network.
more목차
1. 서론 = 1
2. 국방 웹사이트 취약성 분석 = 2
2. 1. 인트라넷 웹사이트 취약성 분석 = 2
2. 2. 게시판에서의 XSS 취약성 = 3
2. 2. 1. 원인분석 = 3
2. 2. 2. 대책 = 4
2. 3. 제로보드의 취약성 = 5
2. 3. 1. 원인분석 = 5
2. 3. 2. 대책 = 7
2. 4. SSO을 적용한 전자결제 취약성 = 7
2. 4. 1. 원인분석 = 7
2. 4. 2. 대책 = 8
2. 5. 파일 업로드 취약성 = 10
2. 5. 1. 원인분석 = 10
2. 5. 2. 대책 = 12
2. 6. 파일 다운로드 취약성 = 13
2. 6. 1. 원인분석 = 13
2. 6. 2. 대책 = 14
3. 국방 인트라넷 사이트 개발 지침 = 15
3. 1. 웹사이트 취약성과 개발 설계 지침 = 15
3. 2. 입력 검증: XSS 취약성, 파일 업로드/다운로드 취약성, SSO 취약성 = 16
3. 3. 식별 및 인증: 전자결제의 SSO 취약성 = 18
3. 4. 접근 통제 : 제로보드, 파일 업로드/다운로드 취약성 = 19
4. 결론 = 20
참고 문헌 = 21
Abstract = 22
