슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

새롬 종
6 years ago
Views:

Orange for Oracle DBA 3.1.4 4. SuperScan 4.0 5.

1 - 감리툴종류 - 1. Linkbot Allfusion Data Model Validator 3. Orange for Oracle DBA SuperScan Acunetix Web Vulnerability Scanner GFI LANguard N.S.S AppScan 대영유비텍

2 1.Linkbot 6.0 어떤사이트의 HTML 페이지의링크의존재유무를확인해주고, 이에대한완벽한리포트를제작하여주는툴임. 웹과관련된프로그램상의 Broken Links, Pages Missing Title, Slow Pages, Missing Attributes 등을점검하여문제가있 는페이지를찾아줌. 적용단계적용분야사용방법기대효과주요기능 최종감리 응용시스템 점검하고자하는사이트주소 웹페이지의완전한연결을통해시스템의안정성확보 로딩속도개선을통해기본적인성능확보 프로그램소스 Clean-up WEB 프로그램의 HTML 파일 Syntax 를점검하여 Broken Page 또는 Bad Link 된 HTML Page 를검증, WEB Site Testing 도구 검증하고자하는 WEB Page 의 URL 정보만알고있으면쉽게적용 BUG Detection 및복구기능 정해진시간간격으로링크를체크하는기능 내부, 외부 HTTP 및 FTP 링크체크기능 자동으로 What's New 및 What's Old 페이지를생성해주는기능 해당사이트의완벽한사이트지도의제작기능 2 대영유비텍

3 웹사이트진단중 진단결과종합보고서 단절링크종합보고서 링크오류현황 3 대영유비텍

4 2. Model Validator 데이터베이스의논리및물리설계의적정성을중복컬럼의식별과이들컬럼의속성일치성, 관계및인덱스설정의적정성, 삽입 / 변경 / 삭제이상 (Abnormally) 을찾아줌. 적용단계 중간및최종감리 적용분야 데이터베이스 사용방법 기대효과 Erwin 파일 / 구현된데이터베이스의 script 파일 데이터베이스의논리설계및물리설계의적정성확보 데이터의무결성확보 주요기능 컬럼도메인 (Domain) 무결성 중복컬럼점검 관계 (Relation) 의적정성 4 대영유비텍

5 컬럼의속성이다른경우 외래키의구성항목이 Null 을포함하는경우 정규화오류인경우 삭제시삭제이상이발생하는경우 5 대영유비텍

6 Validator 의점검기능 6 대영유비텍

7 3. Orange 데이터베이스의구현과성능의적정성을확인하는툴이고, 주요기능으로는 Health Check 를통해성능과관련된사항을점 검하고 SQL 분석을통해 SQL 문의적정성을확인할수있음.( 오라클데이터베이스만가능함 ) 적용단계 적용분야 사용방법 최종감리 데이터베이스 Oracle SQL*Net 설치후 Orange 설치 DBA 사용자 ID/PSWD, tnsname 으로로그인하여 Health Check 를실행 기대효과 데이터베이스의성능및구현의적정성확보 주요기능 실시간트레이스를분석, SQL 의통계정보및악성 SQL 추출기능, 테이블과인덱스의물리적위치와정보, 시스템자원사용에대한통계자료, 데이터베이스의각종성능에대한수치와가이드라인제시등의기능 최종감리시 "Health Check (General, SGA, Wait Event, I/O, Access Type, MTS, OPS)" 를통해성능을점검 7 대영유비텍

Health Check 메인화면 문제의 SQL 추출 1) 자원소모량이많은 SQL 2)

SQL 성능관련점검결과 SGA 영역 Dictionary Cache Hit Ratio

SGA 영역 Latch Hit Ratio (I) Gets (I) Misses Sleeps

8 Health Check 메인화면 문제의 SQL 추출 1) 자원소모량이많은 SQL 2) 단위수행당액세스블록이많으면서일회성수행이아닌 SQL 3) Full Scan 을많이수행하는 SQL 성능관련점검결과 SGA 영역 Dictionary Cache Hit Ratio Parameter Gets Get Misses Hit Ratio dc_histogram_defs 31,516 6, dc_segments 11,691 1, dc_sequences Name query server freelists error message lists SGA 영역 Latch Hit Ratio (I) Gets (I) Misses Sleeps Hit Ratio File I/O 영역 Data File I/O 현황 outstanding_alerts 1, parallel query stats 대영유비텍

9 4. SuperScan 운영서버의보안의안정성을점검하기위해서버에설정되어있는열린포트를찾아주는도구임. 열려있는포트를검토하여불필요한포트를닫을수있도록지원함. 적용단계 적용분야 중간감리 / 최종감리 보안 사용방법 점검하고자하는서버의 IP 를입력하고실행 기대효과 서버의불필요한열린포트제거를통해보안의안정성확보 주요기능 해커들은열린포트를통해해킹을하므로이를방지하기위해특정서버의열린포트를검색하여불필요한포트가있는지확인 9 대영유비텍

10 열린포트점검결과 - 전체 열린포트상세점검결과 열린포트최종점검결과 10 대영유비텍

11 5. WVS(Web Vulnerability Scanner) 웹응용프로그램의보안취약점인 SQL Injection 과 Cross Site Scripting 등을찾아주는도구이고, 추가로웹페이지중 에단절된링크도찾아줌. 적용단계 최종감리 적용분야보안 ( 웹어플리케이션 ) 사용방법 점검하고자하는사이트주소를입력하고실행 기대효과 보안의취약점해결을통해안정적인시스템운영 주요기능 웹어플리케이션의보안취약점을점검 점검하는취약점으로는방화벽이나 IDS, 바이러스백신등과같은기존의보안대책으로는감지하지못하는 Cross Site Scripting와 SQL injection 여부를점검 HTTP 또는 HTML 형태의인증페이지에서암호의유효성확인 페이지와페이지간에링크가단절된페이지점검 11 대영유비텍

12 SQL Injection 점검결과 Cross Site Scripting 점검결과 점검결과전체화면 12 대영유비텍

13 Cross Site Scripting Cross Site Scripting Cross Site Scripting 13 대영유비텍

14 6. GFi LANguard 운영서버의보안의안정성을점검하기위해서버에설정되어있는각종보안취약성, 열린포트, 소프트웨어패치적용여부 등을찾아줌. 적용도구 중간및최종감리 적용분야보안 ( 서버 ) 사용방법 점검하고자하는 IP 를입력하고실행 기대효과 주요기능 서버의보안취약성과불필요한열린포트제거를통해보안의안정성확보 네트워크에서운용중인시스템의자동화된보안점검과취약점점검 운영체제서비스팩정보와핫픽스 (Hot-Fix), 보안패치적용감사 공유폴더와공유자원에대한점검과감사 열린포트와운영중인서비스, 애플리케이션점검 사용자계정, 그룹정보출력과취약한패스워드계정감사 자체패스워드파일내장과스케줄링기반취약점점검기능제공 업데이트와편집이가능한필터링기능을통한다양한기능제공 14 대영유비텍

15 Scan 완료 Scan 유형 취약점점검결과 15 대영유비텍

16 7. AppScan 6.5 웹어플리케이션보안점검을위해 Web Application Security Consortium (WASC) 에서정의한보안취약점항목을기 준으로웹사이트를점검하여보안에안전한시스템이구현되도록함. 적용도구 최종감리 적용분야 사용방법 응용시스템 점검하고자하는사이트주소를입력하고실행 실행후원하는내용으로보고서생성 기대효과 보고서와권고사항으로취약점을개선할수있는보안취약점점검수행 개선작업을용이하게하는유연한결과물로위험한보안결점을수정하여효율성증가 산업전반의포괄적인규정이행보고서제공 - 31가지의규정이행서식및보고서산출 내부보안에대한안전성향상으로사업위협을축소 주요기능 Web Application Security Consortium (WASC) 에서정의한웹어플리케이션보안취약점점검 점검된취약점에대해보완할수있도록상세한보고서제공 대표적인취약점인 Cross-site Scripting 과 SQL Injection 등을점검 16 대영유비텍

17 7. AppScan 6.5 웹어플리케이션보안취약점종류 보안취약점보안위협원인 Cross-site Scripting Blind SQL Injection SQL Injection Poison Null Byte Files Retrieval/ Unix File Parameter Alteration Session Not Invalidated After Logout 공격자가사용자레코드를보거나수정하도록허용하고해당사용자처럼처리되도록수행하기위해합법적인사용자를흉내내는데이용할수있도록사용자세션과쿠키를빼앗거나조작하는것이가능함 데이터베이스기재내용과테이블을보거나수정하거나삭제할가능성이있음 데이터베이스및데이터베이스엔트리를보거나수정하거나삭제할가능성이있음 웹서버에있는데이터베이스, 사용자정보, 구성파일등의내용을모두볼수있음 합법적인사용자로가장할수있는세션이나쿠키를탈취도용하여사용자의정보를보거나변경하고트랜잭션을수행함 사용자입력값에서위험한문자의처리가바르게수행되지않았음 사용자입력값에서위험한문자의처리가바르게수행되지않았음 사용자입력값에서위험한문자의처리가바르게수행되지않았음 사용자가입력하는데이터 ( ) 에대해정확히검증하지않아발생 보안에노출된프로그램또는구성 (Configuration) Accessible Protected Resource 웹어플리케이션의권한관리를우회하도록하여권한을취득함 웹서버또는어플리케이션서버가불안정한상태로구성되어있음. External Session Identifiers Enforcement/ Session Not Invalidated After Logout Login Error Messages Credential Enumeration 사용자의세션및쿠키를가로채거나조작하여적법한사용자로가장하여사용자의레코드를보거나변경하고트랜잭션을수행 사용자의권한을상향하거나웹관리자의권한을불법으로얻음. 불안정한웹어프리케이션프로그래밍과구성 사용자에게제공하는민감한에러나예외사항메시지. 17 대영유비텍

18 실행화면 보고서표지 URL 통계치 18 대영유비텍

19 취약점주요사유및등급별통계치 조치가이드 19 대영유비텍

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar