OWASP TOP10

A1. 인젝션

 

SQL, OS, XXE, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분으로써, 인터프리터로 보내질 때 발생합니다. 공격자의 악의적인 데이터는 예기치 않은 명령을 실행하거나 올바른 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있습니다.

 

가. Form SQL Injection : 쿼리문의 조건절(where절)이 항상 참이 되도록 쿼리문 조작

-> select * from member where id = ‘’ or 1=1#’ and pass=’1234’(MY SQL)

-> select * from member where id = ‘’ or 1=1-- and pass=’1234’(MY SQL / Oracle)

나. Union SQL Injection : Union select 쿼리를 이용하여 한 쿼리의 결과를 다른 쿼리의 결과에 결합하여 공격하는 기법

-> select id,pass from member where id=’ ‘ union select ‘admin’, ‘admin’;

- select문의 필드 개수가 같아야 하며 필드 타입이 호환 가능해야 한다.

- order by절에 컬럼 인덱스를 지정할 수 있는데 지정한 인덱스의 컬럼이 없으면 오류발생

다. Blind SQL Injection : 오류 메시지가 아닌 쿼리 결과의 참과 거짓을 통해 의도하지 않은 SQL문을 실행함으로서 데이터베이스를 공격

-> select * from free_board where subject like’%’ and substr((select table_name from information_schema.tables where table_type = ‘base table’ limit 0,1),1,1)=’a’#%’;

- information_schema.tables : 데이터베이스에 있는 모든 테이블 정보를 가지고 있는 테이블

- information_schema.columns : 데이터베이스에 있는 모든 테이블의 컬럼정보를 가지고 있는 테이블

- limit pos,len : 출력 레코드의 개수를 제한하는 함수로 pos는 시작 행 len은 개수 pos는 0부터 시작

 

대응방안

- PHP 설정파일(php.ini)의 magic_quotes_gpc = On 설정하여 특수문자를 일반문자로 치환(특수문자 앞에 \를 붙이면)해주어 공격 방지

- 선처리 질의문 : 외부로부터의 입력값을 제외한 쿼리 부분을 미리 컴파일 한 후, 반복적으로 입력값만을 설정해서 실행하는 방식으로 성능상의 장점과 입력값에 대한 검증 효과가 있다.

- 블랙리스트 문자열을 포함할 경우 오류메시지를 반환하여 쿼리를 수행하지 않도록 한다.

 

A2. 취약한 인증

 

인증 및 세션 관리와 관련된 애플리케이션 기능이 종종 잘못 구현되어 공격자들이 암호, 키, 세션토큰을 위험에 노출시킬 수 있거나 일시적 또는 영구적으로 다른 사용자의 권한 획득을 위해 구현 상 결함을 악용하도록 허용합니다.

 

A3. 민감한 데이터 노출

 

다수의 웹 애플리케이션과 API는 금융 정보, 건강 정보, 개인 식별 정보와 같은 중요한 정보를 제대로 보호하지 않습니다. 공격자는 신용카드 사기, 신분 도용 또는 다른 범죄를 수행하기 위해 보호가 취약한 데이터를 훔치거나 수정할 수 있습니다. 중요한 데이터는 저장 또는 전송할 때 암호화 같은 추가 보호 조치가 없으면 탈취 당할 수 있으며, 브라우저에서 주고 받을 때 각별한 주의가 필요합니다.

 

A4. XML 외부 개체(XXE)

 

오래되고 설정이 엉망인 많은 XML 프로세서들은 XML 문서 내에서 외부 개체 참조를 평가합니다. 외부 개체는 파일 URI 처리기, 내부 파일 공유, 내부 포트 스캔, 원격 코드 실행과 서비스 거부 공격을 사용하여 내부 파일을 공개하는데 사용할 수 있습니다.

 

A5. 취약한 접근 통제

 

인증된 사용자가 수행할 수 있는 작업에 대한 제한이 제대로 적용되어 있지 않습니다. 공격자는 이러한 결함을 악용하여 다른 사용자의 계정에 접근하거나, 중요한 파일을 보거나, 다른 사용자의 데이터를 수정하거나, 접근 권한을 변경하는 등 권한 없는 기능과 데이터에 접근할 수 있습니다.

 

 

A6. 잘못된 보안 구성

 

취약한 기본 설정, 미완성 (또는 임시 설정), 개방된 클라우드 스토리지, 잘못 구성된 HTTP헤더 및 민감한 정보가 포함된 장황한 에러 메시지로 인한 결과입니다. 모든 운영체제, 프레임워크, 라이브러리와 애플리케이션을 안전하게 설정해야 할 뿐만 아니라 시기 적절하게 패치/ 업그레이드를 진행해야 합니다.

 

A7. 크로스 사이트 스크립팅(XSS)

 

XSS 취약점은 애플리케이션이 올바른 유효성 검사 또는 필터링 처리 없이 새 웹페이지에 신뢰할 수 없는 데이터를 포함하거나, 자바스크립트와 HTML을 생성하는 브라우저 API를 활용한 사용자 제공 데이터로 기존 웹페이지를 업데이트할 때 발생합니다. XSS는 피해자의 브라우저에서 공격자에 의해 스크립트를 실행시켜 사용자 세션을 탈취할 수 있게 만들고, 웹사이트를 변조시키고, 악성 사이트로 리다이렉션할 수 있도록 허용합니다.

-> <script>alert(document.cookie)</script>

 

가. Stored XSS(저장형 XSS) : 공격자가 취약한 웹서버에 악성 스크립트를 저장(게시판 등을 통해 DB에 저장)해놓으면 희생자가 해당 자료를 요청(게시물 클릭 등)할 때 해당 악성 스크립트가 삽입된 응답 페이지가 전달되어 클라이언트 측에서 동작하는 방식

- iframe 태그를 이용하여 웹문서 내에 몰래 악성 스크립트를 실행시켜 쿠키정보 탈취 등 악의적인 공격

나. Reflected XSS(반사형 XSS) : 공격자는 이메일 등에 악성 스크립트가 포함된 링크를 희생자에게 보내 희생자에 액션에 의해 취약한 웹서버로 전달되고, 웹서버의 응답 페이지에 해당 악성 스크립트가 삽입되어(DB에 저장되는 것이 아님) 희생자 측에서 동작하는 방식

다. DOM based(DOM 기반 XSS) : 희생자의 웹 브라우저에서 응답 페이지에 포함된 자바 스크립트가 동작하면서 DOM 객체를 실행할 대 URL 등에 포함된 악성 스크립트가 동작하는 방식(응답페이지에 악성 스크립트가 포함되지 않는다.)

- DOM(Document Object Model) : 웹페이지 내에 있는 모든 객체들을 조작, 관리할 수 있는 계층 구조 형태 모델

 

대응방안

- 사용자 입력값에 대한 검증은 반드시 “서버” 단에서 해야한다. (웹프락시 툴을 이용해 우회가 가능하기 때문)

- htmlspecialchars() 함수를 통하여 특수문자의 일반문자로 치환, strip_tags() 함수를 통하여 특수문자 제거

 

A8. 안전하지 않은 역직렬화

 

안전하지 않은 역직렬화는 종종 원격 코드 실행으로 이어집니다. 역직렬화 취약점이 원격 코드 실행 결과를 가져오지 않더라도 이는 권한 상승 공격, 주입 공격과 재생 공격을 포함한 다양한 공격 수행에 사용될 수 있습니다.

 

A9. 알려진 취약점이 있는 구성요소 사용

 

라이브러리, 프레임워크 및 다른 소프트웨어 모듈 같은 컴포넌트는 애플리케이션과 같은 권한으로 실행됩니다. 만약에 취약한 컴포넌트가 악용된 경우, 이는 심각한 데이터 손실을 일으키거나 서버가 장악됩니다. 알려진 취약점이 있는 컴포넌트를 사용한 애플리케이션과 API는 애플리케이션 방어를 약화시키거나 다양한 공격과 영향을 주게 합니다.

 

A10. 불충분한 로깅 및 모니터링

 

불충분한 로깅과 모니터링은 사고 대응의 비효율적인 통합 또는 누락과 함께 공격자들이 시스템을 더 공격하고, 지속성을 유지하며, 더 많은 시스템을 중심으로 공격할 수 잇도록 만들고, 데이터를 변조, 추출 또는 파괴할 수 있습니다. 대부분의 침해 사례에서 침해를 탐지하는 시간이 200일이 넘게 걸리는 것을 보여주고, 이는 일반적으로 내부 프로세스와 모니터링보다 외부기관이 탐지합니다.

 

감사합니다.