๋ณด์ ์ทจ์ฝ์
์ ๋ณด์์คํ ์ด๋ ์ํํธ์จ์ด ์์ ์กด์ฌํ๋ ๋ณด์์์ ์ฝ์ ์ ๋งํ๋ฉฐ ๊ธฐ์ ์์ ํดํน์ด๋ ์๋น์ค ์ฅ์ , ๋ฐ์ดํฐ์ ์ ์ถ·๋ณ์กฐ·์ญ์ ๋ฑ์ด ์ผ์ด๋ ๊ฒฝ์ฐ, ์ด๋ฌํ ์์คํ ์์ ์ทจ์ฝ์ ์ ์ ์ฉํ์ฌ ํผํด๊ฐ ๋ฐ์ํ๊ฒ ๋๋ค.
๋ณด์ ์ทจ์ฝ์ ์ ํ์ ์๋์ ๊ฐ์ด ํฌ๊ฒ 3๊ฐ์ง๋ก ๋ถ๋ฅ๋์ด์ง๋ค.
CCE (Common Configuration Enumeration)
์ฌ์ฉ์์๊ฒ ํ์ฉ๋ ๊ถํ ์ด์์ ๋์์ ํ์ฉํ๊ฑฐ๋, ๋ฒ์ ์ด์์ ์ ๋ณด ์ด๋·๋ณ์กฐ·์ ์ถ ๋ฑ์ ๊ฐ๋ฅํ๊ฒ ํ๋ ์์คํ ์ค์ ์์ ์ทจ์ฝ์
๐ ์ง๋จ ๋ฐฉ๋ฒ : ์ ๋ณด์์คํ (์๋ฒ, ๋คํธ์ํฌ, DBMS, WEB/WAS, PC๋ฑ)์ ์ค์ ๊ฐ์ ํตํ์ฌ ์ง๋จ
๐ ์กฐ์น ์ฌ๋ถ : ๊ด๋ฆฌ์๊ฐ ์ง์ ํ๊ฒฝ ์ค์ ๊ฐ ๋ณ๊ฒฝ์ ํตํด ์์ฒด ๊ฐ์ ์ด ๊ฐ๋ฅ
์ฐธ๊ณ ์ฌ์ดํธ : https://nvd.nist.gov/config/cce/
NCP - CCE Details
CCE Platform Listing Common Configuration Enumeration (CCE) provides unique identifiers to system configuration issues in order to facilitate fast and accurate correlation of configuration data across multiple information sources and tools. For example, CC
ncp.nist.gov
CVE (Common Vulnerabilities and Exposures)
์ปดํจํฐ ํ๋์จ์ด ๋๋ ์ํํธ์จ์ด ๊ฒฐํจ์ด๋ ์ฒด๊ณ, ์ค๊ณ์์ ์ทจ์ฝ์
CVE๋ ๊ณต๊ฐ์ ์ผ๋ก ์๋ ค์ง ๋ณด์ ์ทจ์ฝ์ ์ ๋ํ ๊ณตํต ์๋ณ์ ๋ชฉ๋ก์ผ๋ก, ํ์คํ๋ CVE ํญ๋ชฉ์ ์๋น์ค ์ ์ฉ ๋ฒ์๋ฅผ ํ๊ฐํ ์ ์๋ ๊ธฐ์ค์ ์ ๊ณต
CVE๋ ๋ค์๊ณผ ๊ฐ์ ๊ท์น์ผ๋ก ๋ง๋ค์ด์ง๋ค. → CVE-(์ฐ๋)-(์์)
๐ ์ง๋จ ๋ฐฉ๋ฒ : ์ดํ๋ฆฌ์ผ์ด์ ์ ์ทจ์ฝ์ ์ง๋จ
๐ ์กฐ์น ์ฌ๋ถ : ์ค๊ณ์์ ์ทจ์ฝ์ ์ด๊ธฐ ๋๋ฌธ์ ์์ฒด ๊ฐ์ ์ด ๋ถ๊ฐ๋ฅํ์ฌ ์ ์กฐ์ฌ์ ๊ณต์ ํจ์น์ ์์กด
์ฐธ๊ณ ์ฌ์ดํธ : https://cve.mitre.org/
CVE - CVE
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
cve.mitre.org
CWE (Common Weakness Enumeration)
๋ค์ํ ์ธ์ด (C, C++, C#, Java, Go, Python) ๋ฐ ์ํคํ ์ฒ, ๋์์ธ ์ค๊ณ, ์ฝ๋ฉ ๋ฑ์ ๊ฐ๋ฐ ๋จ๊ณ์์ ๋ฐ์๊ฐ๋ฅํ ์ทจ์ฝ์ (์์ค์ฝ๋ ๋ณด์์ทจ์ฝ์ )
์ฃผ๋ก ๊ฑฐ๋ก ๋๋ 7๋ ๋ณด์ ์ทจ์ฝ์ (CWE) ์๋์ ๊ฐ๋ค.
โ ์ ๋ ฅ ๋ฐ์ดํฐ ๊ฒ์ฆ ๋ฐ ํํ : ์ ๋ ฅ ๊ฐ์ ๋ํ ๊ฒ์ฆ ๋๋ฝ ๋๋ ๋ถ์ ์ ํ ๊ฒ์ฆ
โก ๋ณด์ ๊ธฐ๋ฅ : ๋ณด์(์ธ์ฆ, ์ ๊ทผ ์ ์ด, ๊ธฐ๋ฐ์ฑ, ์ํธํ, ๊ถํ ๊ด๋ฆฌ ๋ฑ)์ ๋ถ์ ์ ํ๊ฒ ๊ตฌํ ์ ๋ฐ์
โข ์๊ฐ ๋ฐ ์ํ : ๋์ ์ํ์ ์ง์ํ๋ ๋ณ๋ ฌ ์์คํ
, ํ๋ ์ด์์ ํ๋ก์ธ์ค๊ฐ ๋์ ๋๋ ํ๊ฒฝ์์ ์๊ฐ ๋ฐ ์ํ๋ฅผ ๋ถ์ ์ ํ๊ฒ ๊ด๋ฆฌํ์ฌ ๋ฐ์
โฃ ์๋ฌ์ฒ๋ฆฌ : ์๋ฌ๋ฅผ ์ฒ๋ฆฌํ์ง ์๊ฑฐ๋, ์ค์ํ ์ ๋ณด๊ฐ ํฌํจ ๋ ๋
โค ์ฝ๋ ์ค๋ฅ : ์ธ๊ฐ๋์ง ์์ ์ฌ์ฉ์์๊ฒ ๋ฐ์ดํฐ ๋
ธ์ถ
โฅ ์บก์ํ : ์ค์ํ ๋ฐ์ดํฐ ๋๋ ๊ธฐ๋ฅ์ ๋ถ์ถฉ๋ถํ๊ฒ ์บก์ํ ํ์์ ๋
โฆ API ์ค์ฉ : ์๋๋ ์ฌ์ฉ์ ๋ฐํ๋ ๋ฐฉ๋ฒ์ผ๋ก API๋ฅผ ์ฌ์ฉํ๊ฑฐ๋, ๋ณด์์ ์ทจ์ฝํ API๋ฅผ ์ฌ์ฉํ์ฌ ๋ฐ์ํ ์ ์์
๐ ์ง๋จ ๋ฐฉ๋ฒ : Web Server (HTML, PHP, JSP, ASP ๋ฑ) ์์ค ์ทจ์ฝ์ ์ง๋จ
๐ ์กฐ์น ์ฌ๋ถ : ๊ฐ๋ฐ์์ ์์ค ์ฝ๋ ์์ ์ ํตํ์ฌ ์์ฒด ๊ฐ์ ์ด ๊ฐ๋ฅ
์ฐธ๊ณ ์ฌ์ดํธ : https://cwe.mitre.org/
CWE - Common Weakness Enumeration
CWE™ is a community-developed list of software and hardware weakness types. It serves as a common language, a measuring stick for security tools, and as a baseline for weakness identification, mitigation, and prevention efforts. Viewing Customized CWE in
cwe.mitre.org
โ ํ์ฌ ๊ตญ๋ด์์๋ ์์ฒด์ ์ผ๋ก ๊ฐ์ ๊ฐ๋ฅํ CCE, CWE ์ทจ์ฝ์ ์ ๋ํด์ ๋ฒ๋ฅ ์ ํต์ ๋ก ์๋ฌดํ ๋ฐ ์กฐ์น๋ฅผ ๊ถ๊ณ ํ๋ ์ค์ด๋ค.
Reference
https://m.blog.naver.com/jsmb/221868521837
https://hanwitjus.tistory.com/m/16
https://byounghee.tistory.com/172
https://rhkswn3999.tistory.com/158
์ทจ์ฝ์ (CCE,CVE,CWE) ์ ๋ํด
์ทจ์ฝ์ (Vulnerability) ์ด๋? ์ ๋ณด์์คํ ์ด๋ ์ํํธ์จ์ด ์์ ์กด์ฌํ๋ ๋ณด์์ฑ์ ์ฝ์ ๊ธฐ์ ์ด๋ ๊ฐ์ธ์ด ...
blog.naver.com
์ทจ์ฝ์ CCE,CVE,CWE ์ทจ์ฝ์ ์ฐจ์ด์ ์์๋ณด๊ธฐ
์ทจ์ฝ์ ์ด๋..?? ์ ๋ณด์์คํ ์ด๋ ์ํํธ์จ์ด ์์์ ์กด์ฌํ๋ ๋ณด์์์ ์ฝ์ ์ ๋งํ๋ค. ๊ธฐ์ ์์ ํดํน์ด๋ ์๋น์ค ์ฅ์ , ๋ฐ์ดํฐ์ ์ ์ถ,๋ณ์กฐ,์ญ์ ๋ฑ์ด ์ผ์ด๋ ๊ฒฝ์ฐ ์ด๋ฌํ ์์คํ ์์ ์ทจ์ฝ์ ์
rhkswn3999.tistory.com
CVE, CWE, CCE, OWASP, CVSS ์ฉ์ด ์ ๋ฆฌ
CVE, CWE, CCE ์ฉ์ด ์ ๋ฆฌ 1. CVE(Common Vulnerabilities and Exposures) CVE๋ ๊ณต๊ฐ์ ์ผ๋ก ์๋ ค์ง ๋ณด์์ทจ์ฝ์ ์ ๋ํ ๊ณตํต ์๋ณ์ ๋ชฉ๋ก์ผ๋ก, ํ์คํ๋ CVE ํญ๋ชฉ์ ์๋น์ค ์ ์ฉ ๋ฒ์๋ฅผ ํ๊ฐํ ์ ์๋ ๊ธฐ์ค์ ์ ๊ณต
byounghee.tistory.com
CVE, CWE, CCE
CVE๋ง ์กฐ์ฌ ํ๋ค๊ฐ ์ฌ์ดํธ์ Weakness Enumeration ์ด๋ผ๋ฉด์ CWE์ ๊ด๋ จํด์๋ ์จ์๊ธธ๋ ๊ฐ์๊ธฐ CWE์ ๋ํด์๋ ๋ญ์ง ๊ณต๋ถํด๋ณด๋ผ๋ ๋ง์ด ๋ ์ฌ๋ผ์ ์ฐพ์๋ดค๋ค. ์ฐพ์๋ณด๋ค๊ฐ CCE๋ผ๋ ๊ฒ๋ ์๋ค๋ ๊ฑธ ์๊ฒ๋๋ค
hanwitjus.tistory.com
