Skip to main content

보안 테스트 및 지원

보안 테스트

블랙보드는 코드 수준(정적 분석) 및 적용 수준(동적 분석)에서 지속적인 내부 보안 테스트를 수행하여 블랙보드와 고객의 기대를 모두 충족하는지 확인합니다. Blackboard는 정기적으로 새로운 시각을 얻기 위해 타사 보안 공급업체로부터 보안 침투 테스트를 받습니다. 모든 식별된 문제는 신속히 수리될 예정입니다.

정적 애플리케이션 보안 테스트

Blackboard는 오픈 소스 및 상업용 정적 분석 스캐너를 활용해 Blackboard 소스 코드를 지속적으로 평가합니다. Blackboard는 이러한 도구를 사용하여 빌드 환경과 통합함으로써 시스템이 발전함에 따라 소스 코드 내 잠재적 취약점을 파악할 수 있습니다. 블랙보드는 자동화된 소스 코드 분석과 수동 코드 검토를 결합하여 보안 취약점을 관리합니다.

역동적 보안 테스트 적용

Blackboard는 오픈 소스 및 상용 동적 분석 스캐너를 활용해 Blackboard 애플리케이션을 지속적으로 평가합니다. 자동화된 보안 스캐너는 최종 사용자 관점에서 일반적인 웹 적용 취약점을 테스트합니다.

수동 침투 테스트

정적 및 동적 적용 보안 도구로는 모든 보안 문제를 감지할 수 없습니다. 보안 위험을 더욱 줄이기 위해 Blackboard는 수동 침투 테스트를 진행하여 복잡한 보안 취약점 및 부적절한 권한 부여와 같은 비즈니스 로직 문제를 파악합니다.

보안 업데이트 및 권장 사항

블랙보드는 제품에서 발견된 보안 취약점을 적시에 식별하고, 소통하며 해결하기 위해 최선을 다하고 있습니다. Blackboard는 Anthology 글로벌 지원을 통해 보안 패치 및 권고사항을 발행합니다.

보안 권고는 다음 정보와 함께 배포됩니다.

  • 권고 ID - 기술자료 추적 목적

  • 제목 - 영향을 받는 분야에 대한 간략한 설명

  • : 2023년 03월 15일

  • 심각도

권고사항에는 보안 취약점의 특성을 상세히 설명하는 취약점 개요, 시스템이 영향을 받을 수 있는 방법을 설명하는 기능상의 문제 개요, 영향을 받는 제품 버전 목록, 발견에 대한 설명 및 적용 가능한 패치에 대한 링크가 포함된 해결책 설명이 포함됩니다. 블랙보드는 알려진 보안 취약점이 악용되거나 악의적으로 사용되는 것을 추적하여 고객에게 조언하기도 합니다. 완화 및 해결 방법 섹션에서는 고객이 취할 수 있는 완화 조치나 해결책을 설명합니다. 여러 개정 버전의 권고가 있을 경우, 업데이트에 대한 간략한 요약을 제공합니다.

보안 취약점 점수

블랙보드는 일반적으로 CVSSv2(Common Vulnerability Scoring System 버전 2.0) 업계 표준을 준수합니다. 고객은 Blackboard에서 발견된 보안 문제의 영향을 분류하는 데 도움이 되는 가이드로 심각도 등급을 활용할 수 있습니다. 모든 취약점이 사용자마다 영향을 다르게 미치므로 평균 사용량을 기준으로 합니다(예: 고객이 영향받는 모듈을 활성화하지 않았거나, 그 모듈에 포함된 정보가 다른 고객에게만큼 중요하지 않을 수 있음).

입력 검증 필터

입력 유효성 검사 필터는 Blackboard Learn을 보호하는 첫 번째 방어선으로, 구성 가능한 규칙을 통해 작동합니다. Blackboard의 방화벽과 유사한 의미가 있습니다. 들어오는 사용자 요청이 안전한지 확인하기 위해 기본 규칙 집합을 사용하여 데이터를 삭제합니다.

대체 도메인 설정

대체 도메인

대체 도메인에서 사용자가 업로드한 파일을 렌더링하는 것은 심층 방어 보안 조치입니다. 악의적인 스크립트를 포함한 콘텐츠를 업로드할 경우, 사용자가 해당 콘텐츠에 접근하면 기본 Blackboard 세션에서 세션 하이재킹이 발생할 수 있습니다.

사용자는 이제 업로드한 파일에 접근하고 대체 도메인을 통해 사용자 지정 HTML을 추가하는 방법으로 이러한 유형의 활동을 보호할 수 있습니다. 이 보안 제어는 브라우저의 보안 기능인 동일 출처 정책을 활용합니다. 그 결과, 특정 도메인 또는 하위 도메인에서 렌더링되는 사용자가 업로드한 파일 내의 악성 스크립트는 기본 Blackboard 세션의 쿠키 및 세션 정보로부터 분리됩니다.

이 보안 제어는 사용자를 잠재적으로 악의적인 사용자가 업로드한 파일로부터 추가로 보호하기 위한 Blackboard 보안 프레임워크의 또 다른 방어 계층입니다.

Blackboard는 관리자가 모든 Blackboard 구현에서 보안 제어를 구성하도록 권장합니다. 블랙보드 보안 모범 사례입니다.

콘텐츠 렌더링을 위한 별도의 도메인

Blackboard Learn 서버에서 사용자가 업로드한 파일에 보다 안전하게 접근할 수 있도록 별도의 도메인 또는 하위 도메인이 제공됩니다. 이 별도의 도메인은 사용자가 업로드한 콘텐츠에 포함된 악성 스크립트가 Blackboard Learn 세션 및 사용자 데이터를 손상시키는 것을 방지하는 데 도움이 됩니다. 별도의 도메인이나 하위 도메인을 구성하면 모든 콘텐츠가 원래 도메인에서 새 도메인으로 기본적으로 이전됩니다. 사용자에게는 이것이 완전히 원활하다.

성적 관리 센터, 캘린더, 강의 도구, 평가, 과제, 시험 및 적용 파일을 포함한 기본 도메인과 MP3, AAC, WAV, DOC, XLS, PPT, JPG, PNG, PDF를 포함한 대체 도메인을 보여주는 다이어그램입니다<#>.</#> 기본 도메인에서 대체 도메인으로 연결되는 화살표는 '사용자가 업로드한 콘텐츠는 대체 도메인에서 제공됩니다'라는 문구와 두 도메인 사이에는 빨간 원과 "액세스 권한 없음"이라는 문구가 있는 양방향 화살표를 나타냅니다.

사용자가 업로드한 파일에 세션 하이재킹을 수행하는 악성 스크립트가 포함되어 있을 때, 브라우저의 보안 제어인 "동일 출처 정책"이 파일 렌더링 세션의 기본 세션 접근을 방지하는 데 도움을 줍니다. 사용자의 기본 세션은 평가 응시 및 성적 조회 등의 활동에 사용됩니다. 공격은 구획화되어 영향이 제한됩니다. 공격자는 일반적으로 접근할 수 없는 콘텐츠에 접근할 수 있지만, 피해자의 기본 세션 또는 전체 사이트에 대한 접근 권한은 얻지 못한다.

특별 참고 사항

블랙보드 서버의 대체 호스트 이름은 webdav 요청에만 응답합니다.

Blackboard 설치가 대체 호스트 이름의 요청에 반응할 때는 일반 Blackboard 기능을 수행할 수 없습니다. 그러므로 브랜드나 다른 유사한 대체 파일 호스트는 파일 도메인과 같은 호스트 이름을 사용할 수 없습니다.

대체 도메인 정보는 대체 도메인 사용 설정 시 사전에 구성됩니다. 블랙보드는 단 하나의 대체 도메인만을 지원하기 때문에 이러한 사전 설정된 값을 변경하지 않는 것이 좋습니다. 사전에 설정된 값을 변경하려면 다음 옵션을 사용할 수 있습니다.

  • blackboard.com

  • 사이트 도메인을 사용할 때는 허영 URL을 사용합니다.

대체 도메인을 사용하여 콘텐츠 제공

주의

브랜드와 관련된 호스트 이름은 별도의 도메인을 설정할 때 사용하지 마십시오. 브랜드가 제대로 작동하지 않게 됩니다.

  1. 관리자 패널 > 보안 > 콘텐츠 제공을 위한 대체 도메인으로 이동합니다.

  2. 상자를 선택하여 콘텐츠 제공을 위한 대체 도메인을 사용 설정합니다.

  3. 정보는 미리 구성된 콘텐츠로 채워집니다.

    참고

    블랙보드는 단 하나의 대체 도메인만을 지원하기 때문에 이러한 사전 설정된 값을 변경하지 않는 것이 좋습니다. 베니티 URL을 사용할 때 미리 설정된 값을 변경하고 싶다면 blackboard.com 또는 사이트 도메인을 사용하도록 선택할 수 있습니다.

  4. 제출을 선택합니다.

중요

대체 도메인을 구성한 후 HTML 작성이 로드되지 않으면 지원 부서에 문의해 환경 도메인이 올바르게 설정되고 구성됐는지 확인하세요. 관리자 패널 > 보안 > 호스트 이름 구성에서 호스트 이름 설정을 검토하십시오.

대체 도메인을 사용하여 콘텐츠 제공 중단

  1. 관리자 패널 > 보안 > 콘텐츠 제공을 위한 대체 도메인으로 이동합니다.

  2. 상자를 선택하여 콘텐츠 제공을 위한 대체 도메인을 비활성화합니다.

  3. 제출을 선택합니다.

HTML 추가

사용자 정의 HTML 또는 CSS 추가

Ultra 코스 보기에서 사이트에 대한 대체 도메인을 활성화하면 문서에서 사용자 정의 HTML 및 CSS를 사용할 수 있게 됩니다. 문서에 인라인 타사 HTML 편집기를 포함하려면 HTML 추가를 새 블록으로 선택하세요. HTML 코드를 편집기에 작성하거나 붙여넣은 후 저장을 선택할 수 있습니다. HTML 인코딩은 BbML을 통해 Blackboard로 지속성을 유지하며 전송됩니다. HTML은 BbML에서 새로운 data-bbtype으로 표시된다. BbML에 이전에 생성된 HTML을 포함하여 읽기 전용 모드로 로드하면, HTML은 iframe 내의 별도 도메인에서 로드됩니다.

새 CodeEditor 패키지는 타사 편집기에 필요한 모든 가져오기를 처리하며 편집기 구성을 표준화합니다. 패키지가 DOM 요소에 삽입하기 위해 편집기의 메서드를 단순히 래핑하지 않는 경우가 있습니다. 페이지에 포함된 편집기와 플러그인 지시문은 패키지마다 다를 수 있습니다.

문서 작성 창 왼쪽에는 보라색으로 강조된 HTML 추가 옵션이 표시됩니다. HTML 편집기의 오른쪽 상단에 추가된 창으로 연결되는 화살표입니다. 해당 창의 오른쪽 하단에 '저장' 및 '취소' 버튼이 있습니다. 화살표는 화면 오른쪽 하단의 창으로 연결되며, 이곳에서 재생 버튼이 있는 분자의 3차원 모델을 볼 수 있습니다.

이 기능을 사용하려면 교육 기관에서 대체 도메인을 설정해야 하고, 코스 역할에 스크립트가 포함된 콘텐츠를 iframe에 추가하거나 편집해야 합니다. 보안을 강화하고 Ultra Experience의 반응성을 유지하기 위해 Blackboard의 기존 솔루션을 활용하여 이 기능을 지원하였습니다. 교수자는 대체 도메인이 이미 구성되어 있는 경우 Ultra 코스 보기 문서에 HTML을 추가할 수 있는 권한을 부여받습니다.

중요

HTML 작성이 로드되지 않을 경우 대체 도메인을 구성한 후 지원 부서에 문의하여 환경 도메인이 올바르게 설정되고 구성되었는지 확인하십시오.