안녕하세요

맑은소프트입니다.

KISA 홈페이지 취약점진단 후 결과에 따른 수정사항 안내드립니다. 

원격훈련 솔루션 전체에 대하여 수평 조치가 이뤄졌음을 안내드립니다. 

점검항목:

1.[조치완료] [XSS] - 크로스 사이트 스크립팅(Reflected) 테스트

-> 값 오류로 서버내용 노출 페이지를 오류 안내페이지로 변경하여 노출 차단하였습니다. 

[조치완료] [XSS] - 크로스 사이트 스크립팅(Stored) 테스트

-> 값 오류로 서버내용 노출 페이지를 오류 안내페이지로 변경하여 노출 차단하였습니다. 

2.[조치완료] [에러 핸들링] - 로그인 실패 시 동일 메시지를 통한 정보 수집 

-> 아이디가 존재 여부에 상관없이 안내맨트를 통일하여 아이디의 가입여부를 알수 없게 조치하였습니다. 

[조치완료] [에러 핸들링] - 부적절한 오류 취급에 대한 테스트

-> 서버로 온 값들중 <> 등  공격으로 사용되는 특수문자를 공백으로 처리하였습니다. 

3.[조치완료] [접근 제어] - HTTP 메소드 테스트 

-> 불필요한 메서드 사용시 루프백 응답 노출되록 수정 완료하였습니다. 

[조치완료] [접근 제어] - 애플리케이션 플랫폼 구성 테스트

->  서버 운영상 불필요한 파일 삭제 완료했습니다. 

4.[조치완료] [인증 정책] - 인증 오류 횟수 제한기능 제공 여부

->아이디/비밀번호 찾기 시 인증번호 입력을 5회 이상 잘못 입력할 경우, '인증 시도 횟수 5회를 초과했습니다. 처음 단계로 돌아갑니다.'라는 알림이 표시되도록 수정 완료하였습니다.

5.[조치완료] [세션 보안] - 세션 타임아웃 테스트

-> LMS 학습관리 시스템 관리자단에서 통합관리>사이트관리>사이트명>사이트정보>세션유지시간 입력 시 차단됩니다. 

기존에도 조치된 사항이나, KISA에서 진행한 웹 취약점 점검은 1시간 이내 기준으로 테스트되었으며, 이는 점검 기준 범위를 벗어난 것으로 확인되었습니다.

[조치불가] [세션 보안] - 세션 가로채기 테스트 

-> IP 차단 시 모바일 학습 등에서 문제가 발생하기 때문에 향후에도 조치 계획 없습니다. 

6.[조치완료] [인증 변조] - 권한 상승 테스트

-> 수강확인서 발급 시, URL 창에 훈련생 수강확인서 주소를 복사한 후 CUID 값을 타 훈련생의 값으로 변경하면 해당 훈련생의 정보가 노출되는 문제가 있었습니다.
이에 대해 보안 취약점을 수정하여, 현재는 타인의 CUID 값으로 접근 시 "접근 권한이 없습니다"라는 알림창이 출력되도록 구현을 완료하였습니다.
해당 조치를 통해 사용자 권한 검증이 강화되었으며, 수강확인서 정보에 대한 무단 접근이 차단됩니다.

감사합니다.