국제 안전 기구 가 새로 발표 한 2004 년 10 대 네트워크 응용 구멍 IT 보안 전문가 들 의 오픈 네트워크 애플 리 케 이 션 보안 계획 기구(OWASP)가 발표 한 두 번 째 연도 10 대 인터넷 애플 리 케 이 션 보안 취약 부분 목록 에는'서비스 제공 거부'유형의 위험 이 추가 됐다.지난해 이 유형의 위험 이 자주 발생 했 기 때문이다.OWASP 의 의장 겸'정초 석'(전략 적 안전 서 비 스 를 제공 하 는 회사)컨 설 턴 트 회 장 코 페 마크 는"올해 주요 전자상거래 사이트 들 이 서비스 제공 을 거부 하 는 공격 을 받 을 것 으로 예상 된다"며"해커 들 이 이미 많은 사용자 비밀번호 에 싫 증 을 느 꼈 기 때 문"이 라 고 말 했다.예 를 들 어 대량의 이메일 계 정 을 가지 고 있 는 해커 가 공격 을 해서 전자상거래 사이트 의 사용자 비밀 번 호 를 수정 할 때 그 는 손 에 넣 었 다. 코 페 이 가 찰스 에 있 을 때 Schwab 가 IT 안전 업무 에 종사 할 때 그 는 다른 회사 의 동업자 와 OWASP 를 구 성 했 고 사이트 안전 보호 와 관련 된 중대 한 문제 에 대한 평가 에 착수 했다.결국 이후 1 년 동안 그들 은 200 페이지 에 가 까 운 OWASP 지도 문헌 을 발표 했다.이 자 료 는 IT 보안 전문가 와 프로 그래 밍 인원 을 직접 대상 으로 다운로드 횟수 가 150 만 건 에 이른다. 코 페 이 는"그것 이 인 정 받 는 정 도 는 우리 의 예상 을 훨씬 초과 한다"고 말 했다.그러나 프로그래머 들 은 CIO 와 다른 임 원 들 에 게 보 여줄 수 있 는 것 이 필요 하 다 며 지난해 이 기관 은 첫 번 째'10 대 인터넷 애플 리 케 이 션 보안 취약 부분 목록'을 발표 했다.이곳 은 2004 년 의 10 대 약 한 부분 이다. 경험 증 이 없 는 매개 변수:특정한 정 보 는 네트워크 응용 프로그램 에 사용 되 기 전에 합 법성 이 검증 되 지 않 았 고 공격 자 는 이런 정 보 를 이용 하여 후방 응용 소프트웨어 구성 요 소 를 공격 할 수 있다. 실 효 된 접근 제어:각종 권한 을 수 여 받 은 사용자 의 접근 권한 을 제어 하 는 제한 적 인 조건 을 잘못 사용 하여 공격 자 들 이 이러한 구멍 을 이용 하여 다른 사용자 의 계 정 을 방문 하거나 권한 을 수 여 받 지 않 은 기능 을 사용 하도록 합 니 다. 실 효 된 계 정 및 대화 관리:계 정 인증서 와 대화 권 표 가 적절하게 보호 되 지 않 아 공격 자가 비밀번호,키,대화 정보 또는 권 표 에 대해 불법 조작 을 하고 다른 사용자 의 신분 으로 인증 을 통과 한다. 크로스 사이트 스 크 립 트 구멍:네트워크 애플 리 케 이 션 은 공격 자 를 터미널 사용자 로 옮 기 는 브 라 우 저 로 사용 할 수 있 습 니 다.성공 적 인 공격 은 터미널 사용자 의 대화 정 보 를 얻 거나 내용 을 위조 하여 사용 자 를 속 일 수 있다. 버퍼 넘 침:입력 정 보 를 정확하게 검증 할 수 없 는 언어 로 작 성 된 네트워크 응용 프로그램 구성 요 소 는 프로 세 스 를 망 칠 수 있 습 니 다.또한 어떤 경우 에는 프로 세 스 를 제어 하 는 데 도 사용 된다.이 구성 요소 들 은 공공 게 이 트 웨 이 인터페이스(CGI),라 이브 러 리,드라이버,네트워크 애플 리 케 이 션 서버 구성 요 소 를 포함 할 수 있 습 니 다. 명령 주입 구멍:네트워크 응용 프로그램 이 외부 시스템 이나 로 컬 운영 체제 에 접근 할 때 네트워크 응용 프로그램 은 일부 인 자 를 전달 할 수 있 습 니 다.공격 자가 이 매개 변수 에 악성 명령 을 삽입 할 수 있다 면 외부 시스템 은 이러한 네트워크 애플 리 케 이 션 이름 으로 명령 을 수행 할 수 있 습 니 다. 오류 의 부정 확 한 처리:사용자 가 시스템 을 정상적으로 조작 하 는 과정 에서 오류 가 발생 했 습 니 다.이러한 오 류 는 정확 한 처 리 를 받 지 못 했 습 니 다.이런 상황 에서 공격 자 는 이러한 오 류 를 이용 하여 상세 한 시스템 정 보 를 얻 고 서 비 스 를 거부 하 며 안전 시스템 을 마비 시 키 거나 서버 를 파괴 할 수 있다. 비 안전 저장 소:암호 화 기능 을 사용 하여 정보 와 인증 서 를 보호 하 는 네트워크 응용 프로그램 은 정상적으로 인 코딩 하기 어렵 다 는 것 이 입증 되 어 보호 기능 이 약화 되 었 다. 서비스 제공 거부:상술 한 바 와 같이 공격 자 는 네트워크 응용 자원 을 극도로 소모 하여 다른 합 법 적 인 사용자 들 이 더 이상 이러한 자원 을 이용 하거나 응용 프로그램 을 사용 할 수 없 게 한다.공격 자 는 사용자 의 계 정 을 봉쇄 하거나 계 정 신청 을 할 수 없 게 할 수도 있다. 비 안전 한 설정 관리:탄탄 한 서버 설정 기준 을 가지 고 있 는 것 은 네트워크 응용 프로그램 을 보호 하 는 데 매우 중요 하 다.이 서버 들 은 보안 에 영향 을 줄 수 있 는 설정 옵션 이 많 습 니 다.오 류 를 선택 하면 보안 을 잃 게 됩 니 다.""인터넷 애플 리 케 이 션 보안 은 여러 가지 도전 에 직면 해 있다."라 고 코 페 이 가 말 했다.많은 문 제 는 인간 의 논리 적 인 문제 이 며,이런 문 제 는 영원히 기술적 인 수단 으로 찾 을 수 없다.만병통치약 은 없다."그것 은 논리 적 인 어 려 운 문제 이 고 해결 해 야 할 새로운 문제 이다."
