본문 바로가기

테스팅

2022년 테스팅 사례 공유 - 한방0000 제품 관리자 서버 보안성 테스팅

2022년 고품질 SW개발 컨설팅 및 테스팅 지원 사업 테스팅 사례 공유 합니다.

(재)전주정보문화산업진흥원의 SW품질역량센터에서는

2011년 부터 전라북도 ICT/SW기업을 대상으로 품질 향상을 위한 컨설팅 및 테스팅을 지원하고 있습니다.

본 테스팅은 한방0000 제품 관리자 서버 보안성 테스팅을 수행한 사례입니다.

 

목차

     

     

    1. 테스팅 개요

    - 기업명 : 000 소프트

    - 기업주소 : 전라북도 전주시 ***

    - 테스팅 내용 : 한방0000 제품 관리자 서버 보안성 테스팅

    - 테스팅 목적 : 기업 개발한 어플리케이션을 대상으로 보안성 테스트를 통해서 고객에게 보안이 강화된 고품질 제품을 전달하기 위한 테스팅을 목표

     

    2. 테스팅 일정

    수 행 일 정 컨설팅 내용 담 당 자
    2022. 8. 3. 테스팅 신청 기업 담당자
    2022. 8. 3. 테스팅 신청서 접수 테스터(JICA)
    2022. 9. 13.
    ~
    2022. 11. 7.
    GS인증평가모듈 기반 보안성 테스팅 지원
    - 도구 기반 보안성 테스팅 진행
    - 결함리포트 작성
    테스터(JICA)
    2022. 11. 29. 테스팅 보고서 작성 테스터(JICA)

     

    3. 테스팅 결과 요약

    본 테스팅의 지원 내용은 다음과 같습니다.

     

    1) 시험 환경

    시험구성도

     
    [그림 2] 시험 구성도

    시험 대상 제품인 0000 관리자 서버 시스템 v1.0 시험서버(본사 내)에 설치됨(URL : https:l#first)

    시험도구인 OWASP ZAP 2.11.0, 웹브라우저 Firefox v107.0, Chrome 108.0은 시험PC에 설치됨

     

    시험도구

    도 구 명 용 도
    Chrome 108.0.5359.125 64bit 전반적인 취약점 진단을 위해 사용되는 시험도구
    Firefox v107.0 64bit 전반적인 취약점 진단을 위해 사용되는 시험도구
    OWASP ZAP 2.11.0 SQL Injection, Cross Site Scripting 취약점 진단을 위한 시험도구

    [6] 시험도구

     

    하드웨어 및 소프트웨어 환경

    구 분 사 양
    시험PC
    (제조사 :000, 모델명:000)
    HW CPU Intel(R) Core(TM) i7-8700 CPU @ 3.20GHz 3.19GHz
    Storage Samsung SSD 860 EVO 250 GB
    Seagate BarraCuda 7200/64M (ST2000DM006, 2TB)
    RAM 32 GB
    해상도 1 920 x 1 080
    Graphic NVIDIA GeForce GTX 1050
    네트워크 Realtek PCIe GBE Family Controller
    SW OS Windows 10 Pro for Workstations 64 bit

     

    [7] 테스트 환경(HW/SW)

     

     

     

    2) 시험 장소

    전주정보문화산업진흥원 소프트웨어 시험실

     

    3) 점검 항목

    점검 항목은 과학기술정보통신부고시 제2021-101호 제12(실행 소프트웨어 품질인증 기준) 6항 보안성을 기준 중에 일부분을 보안성 테스팅 도구를 통하여 점검

    순번 분류 품질특성 항목 내용
    1 보안성 SQL Injection SQL 삽입은 응용 프로그램 보안 상의 허점을 의도적으로 이용해, 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격 방법
    2 보안성 Cross Site Scripting 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점

     

    [8] 점검 항목

     

     

    4) 결과 요약

    본 테스팅의 지원 내용은 다음과 같다

     

    테스팅 지원내용

    1) 테 스 팅 : 보안성 테스팅 지원

    2) 수행기간 : 2022913~ 1024

    3) 시험장소 : 전주정보문화산업진흥원 소프트웨어 시험실

    4) 결함갯수 : 해당사항 없음 (상세내용 참고)

    5) 테스팅 지원 내용

    - 보안성 테스팅

    - 테스팅 중에 발생한 결함에 대한 결함보고서 제공

    6) 테스팅 결과

    번호 취약점 요약 결과
    1 SQL Injection 로그인 페이지, 메인 페이지에서 SQL 인젝션 공격 시도를 하였으며, 메인 페이지에서 해당 취약점이 발견되었음 FAIL
    2 Cross Site Scripting 크롬 브라우저를 통하여 로그인을 한 다음 일부 등록 메뉴에서 크로스 사이트 스크립팅 취약점이 발견되었음 FAIL

     

    * 시험증적, 시험절차 등의 상세한 내용은 명시하지 않았습니다.

     

     

    김영찬 (소프트웨어 품질 전문가)

    (재)전주정보문화산업진흥원(JICA)

    소프트웨어 개발자로 10년간 발로 코딩 하다가 한계를 느끼고, 

    2015년부터 소프트웨어 품질에 몸을 담고 기업을 돕고 있음

    email.  sweng@jica.or.kr  / tel. 063-281-4113

    주업무 : 소프트웨어 품질 컨설팅, 테스팅,  KOLAS 기술책임자, 개발자 네트워크 운영

    자격

      - SP, CMMI, VSE(ISO 29110), ISMS(ISO 27001) 인증 심사원

      - AIT, ISTQB FL, CSTS, 29119 외 다수