2022년 고품질 SW개발 컨설팅 및 테스팅 지원 사업 테스팅 사례 공유 합니다.
(재)전주정보문화산업진흥원의 SW품질역량센터에서는
2011년 부터 전라북도 ICT/SW기업을 대상으로 품질 향상을 위한 컨설팅 및 테스팅을 지원하고 있습니다.
본 테스팅은 한방0000 제품 관리자 서버 보안성 테스팅을 수행한 사례입니다.
목차
1. 테스팅 개요
- 기업명 : 000 소프트
- 기업주소 : 전라북도 전주시 ***
- 테스팅 내용 : 한방0000 제품 관리자 서버 보안성 테스팅
- 테스팅 목적 : 기업 개발한 어플리케이션을 대상으로 보안성 테스트를 통해서 고객에게 보안이 강화된 고품질 제품을 전달하기 위한 테스팅을 목표
2. 테스팅 일정
| 수 행 일 정 | 컨설팅 내용 | 담 당 자 |
| 2022. 8. 3. | 테스팅 신청 | 기업 담당자 |
| 2022. 8. 3. | 테스팅 신청서 접수 | 테스터(JICA) |
| 2022. 9. 13. ~ 2022. 11. 7. |
GS인증평가모듈 기반 보안성 테스팅 지원 - 도구 기반 보안성 테스팅 진행 - 결함리포트 작성 |
테스터(JICA) |
| 2022. 11. 29. | 테스팅 보고서 작성 | 테스터(JICA) |
3. 테스팅 결과 요약
본 테스팅의 지원 내용은 다음과 같습니다.
1) 시험 환경
○ 시험구성도
| [그림 2] 시험 구성도 |
※ 시험 대상 제품인 0000 관리자 서버 시스템 v1.0 은 시험서버(본사 내)에 설치됨(URL : https:l#first)
※ 시험도구인 OWASP ZAP 2.11.0, 웹브라우저 Firefox v107.0, Chrome 108.0은 시험PC에 설치됨
○ 시험도구
| 도 구 명 | 용 도 |
| Chrome 108.0.5359.125 64bit | 전반적인 취약점 진단을 위해 사용되는 시험도구 |
| Firefox v107.0 64bit | 전반적인 취약점 진단을 위해 사용되는 시험도구 |
| OWASP ZAP 2.11.0 | SQL Injection, Cross Site Scripting 취약점 진단을 위한 시험도구 |
[표 6] 시험도구
○ 하드웨어 및 소프트웨어 환경
| 구 분 | 사 양 | ||
| 시험PC (제조사 :000, 모델명:000) |
HW | CPU | Intel(R) Core(TM) i7-8700 CPU @ 3.20GHz 3.19GHz |
| Storage | Samsung SSD 860 EVO 250 GB | ||
| Seagate BarraCuda 7200/64M (ST2000DM006, 2TB) | |||
| RAM | 32 GB | ||
| 해상도 | 1 920 x 1 080 | ||
| Graphic | NVIDIA GeForce GTX 1050 | ||
| 네트워크 | Realtek PCIe GBE Family Controller | ||
| SW | OS | Windows 10 Pro for Workstations 64 bit | |
[표 7] 테스트 환경(HW/SW)
2) 시험 장소
전주정보문화산업진흥원 소프트웨어 시험실
3) 점검 항목
점검 항목은 과학기술정보통신부고시 제2021-101호 제12조 (실행 소프트웨어 품질인증 기준) 6항 보안성을 기준 중에 일부분을 보안성 테스팅 도구를 통하여 점검
| 순번 | 분류 | 품질특성 | 항목 내용 |
| 1 | 보안성 | SQL Injection | SQL 삽입은 응용 프로그램 보안 상의 허점을 의도적으로 이용해, 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격 방법 |
| 2 | 보안성 | Cross Site Scripting | 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점 |
[표 8] 점검 항목
4) 결과 요약
본 테스팅의 지원 내용은 다음과 같다
○ 테스팅 지원내용
1) 테 스 팅 : 보안성 테스팅 지원
2) 수행기간 : 2022년 9월 13일 ~ 10월 24일
3) 시험장소 : 전주정보문화산업진흥원 소프트웨어 시험실
4) 결함갯수 : 해당사항 없음 (상세내용 참고)
5) 테스팅 지원 내용
- 보안성 테스팅
- 테스팅 중에 발생한 결함에 대한 결함보고서 제공
6) 테스팅 결과
| 번호 | 취약점 | 요약 | 결과 |
| 1 | SQL Injection | 로그인 페이지, 메인 페이지에서 SQL 인젝션 공격 시도를 하였으며, 메인 페이지에서 해당 취약점이 발견되었음 | FAIL |
| 2 | Cross Site Scripting | 크롬 브라우저를 통하여 로그인을 한 다음 일부 등록 메뉴에서 크로스 사이트 스크립팅 취약점이 발견되었음 | FAIL |
* 시험증적, 시험절차 등의 상세한 내용은 명시하지 않았습니다.
김영찬 (소프트웨어 품질 전문가)
(재)전주정보문화산업진흥원(JICA)
소프트웨어 개발자로 10년간 발로 코딩 하다가 한계를 느끼고,
2015년부터 소프트웨어 품질에 몸을 담고 기업을 돕고 있음
email. sweng@jica.or.kr / tel. 063-281-4113
주업무 : 소프트웨어 품질 컨설팅, 테스팅, KOLAS 기술책임자, 개발자 네트워크 운영
자격
- SP, CMMI, VSE(ISO 29110), ISMS(ISO 27001) 인증 심사원
- AIT, ISTQB FL, CSTS, 29119 외 다수
'테스팅' 카테고리의 다른 글
| 2022년 테스팅 사례 공유 - 농업0000 정보 시스템 소스코드 시큐어 코딩 분석 테스팅 지원 (0) | 2023.04.14 |
|---|---|
| 2022년 테스팅 사례 공유 - CMS 솔루션 소스코드 정적 분석 테스팅 지원 (0) | 2023.04.14 |
| 2022년 테스팅 사례 공유 - 한방0000 제품 기능 적합성 테스팅 (0) | 2023.04.14 |
| 2022년 테스팅 사례 공유 - VR 0000 제품 성능효율성 테스팅 (0) | 2023.04.14 |
| 2022년 테스팅 사례 공유 - VR 0000 제품 기능적합성 테스팅 (0) | 2023.04.14 |
