표제지
목차
Ⅰ. 서론 4
Ⅱ. 취약점 현황 5
Ⅲ. 분류별 주요 취약점 공격 유형과 대응방안 8
3.1. Application 8
오버플로우 8
명령어 삽입(Command Injection) 10
3.2. Service 13
부적절한 권한 검증 13
서비스 내 오픈소스 파일 업로드 취약점 14
3.3. 모바일 및 IoT 16
오버플로우 16
명령어 삽입(Command Injection) 18
3.4. CMS 21
크로스 사이트 스크립트(XSS; Cross Site Script) 21
SQL Injection 23
3.5. ActiveX 25
파일 다운로드 및 실행 25
파일 다운로드 27
Ⅳ. 결론 30
참고문헌 31
[표 1] 보안 취약점 포상건수 5
[표 2] 최근 3년간 취약점 대상별 포상건수 6
[표 3] 최근 3년간 공격 유형별 통계 7
[표 4] 최근 3년간 Application 주요 취약점 공격 유형 8
[표 5] Service 주요 취약점 공격 유형 13
[표 6] 모바일 및 IoT 주요 취약점 공격 유형 16
[표 7] CMS 주요 취약점 공격 유형 21
[표 8] ActiveX 주요 취약점 공격 유형 25
[그림 1] 년도별 보안 취약점 포상건수 5
[그림 2] 연간 전체 포상건수 대비 취약점 대상별 비율 그래프 6
[그림 3] 공격유형별 그래프 7
[그림 4] 오버플로우 취약점에 취약한 Application 코드 (1) 8
[그림 5] 오버플로우 취약점에 취약한 Application 코드 (2) 9
[그림 6] Command Injection 취약점에 취약한 Application 예시 11
[그림 7] 명령어 삽입(Command Injection) 취약점에 취약한 Application 코드 (1) 11
[그림 8] 명령어 삽입(Command Injection) 취약점에 취약한 Application 코드 (2) 11
[그림 9] 게시판 글 수정을 위한 http 요청 13
[그림 10] 코드 내 파일 관리 프로그램 사용함을 확인 14
[그림 11] 파일 업로드 공격을 수행하는 http 요청 값 15
[그림 12] 오버플로우 취약점에 취약한 IoT 기기 펌웨어 코드 (1) 17
[그림 13] 오버플로우 취약점에 취약한 IoT 기기 펌웨어 코드 (2) 17
[그림 14] 명령어 삽입(Command Injection) 취약점에 취약한 IoT 기기 펌웨어 코드 (1) 19
[그림 15] 명령어 삽입(Command Injection) 취약점에 취약한 IoT 기기 펌웨어 코드 (2) 19
[그림 16] Command Injection 취약점에 취약한 IoT 기기 펌웨어 코드 20
[그림 17] 크로스 사이트 스크립트 취약점에 취약한 CMS 예시 (1) 21
[그림 18] 크로스 사이트 스크립트 취약점에 취약한 CMS 예시 (2) 21
[그림 19] SQL Injection 취약점에 취약한 CMS 예시 (1) 23
[그림 20] SQL Injection 취약점에 취약한 CMS 예시 (2) 23
[그림 21] SQL 구문의 결과가 참일 때(위), SQL 구문의 결과가 거짓일 때(아래) 24
[그림 22] 파일 다운로드 및 실행 취약점에 취약한 ActiveX 메소드 예시 (1) 25
[그림 23] 파일 다운로드 및 실행 취약점에 취약한 ActiveX 메소드 예시 (2) 26
[그림 24] 취약한 ActiveX 내부 함수 26
[그림 25] 취약한 ActiveX 공격 방식 27
[그림 26] 파일 다운로드 취약점에 취약한 ActiveX 예시 28
[그림 27] 취약한 ActiveX 내부 함수 28
[그림 28] 취약한 ActiveX 공격 방식 29