웹 표준 취약점 대비 후기

 

한국인터넷진훙원(KISA)에서 웹 표준 취약점 28가지 항목에 대해서 정의를 하고있습니다.

이를 대비하기 위한 방법도 구글링을 하다보면 자세히 나와 있습니다.

코드	위험	이름	내용
BO	上	버퍼 오버플로우	DB나 요청에 과도한 길이의 데이터 전송
FS	上	포맷스트링	포맷스트링 취약점 존재
LI	上	LDAP 인젝션	ldap 취약점 존재
OC	上	운영체제 명령실행	커멘드 명령을 입력 후 실행 유도
SI	上	SQL 인젝션	파라미터에 일반 쿼리문을 넣어 실행 유도
SS	上	SSI 인젝션	SSI 인젝션 존재
XI	上	Xpath 인젝션	XML 형태의 데이터 위변조 공격
DI	上	디렉토리 인덱싱	디렉토리 리스트를 보여줌
IL	上	정보누출	NGINX
CS	上	악성콘텐츠	실행 가능한 파일 업로드를 통한 공격
XS	上	크로스 사이트 스크립팅	스크립트코드를 데이터로 전달함
BF	上	약한 문자열 강도	무작위한 데이터 요청을 통해 데이터 변조
LA	上	불충분한 인증	추측 가능한 데이터 입력을 통한 행위
PR	上	취약판 패스워드 복구	회원정보 수정시 취약한 비밀번호로교체
CF	上	크로스 사이트 리퀘스트 변조(CSRF)	탈취한 권한으로 데이터 변조
SE	上	세션 예측	세션ID를 특정 패턴에 의해서 발급
IN	上	불충분한 인가	비밀번호등을 매개변수로 전달시 변조
SC	上	불충분한 세션만료	세션이 만료되지 않는 문제
SF	上	세션고정	사용자가 로그아웃 하였는데 세션값이 그대로인 경우
AU	上	자동화공격	데이터 등록 및 수정시 반복적인 행위 실행
PV	上	프로세스 검증누락	세션 체크 없이 기능별 페이지로 접근 가능한 경우
FU	上	파일 업로드	exe 파일등 업로드 후 실행 공격
FD	上	파일 다운로드	파일 경로를 통한 다운로드 실행
AE	上	관리자 페이지 노출	관리자 페이지 노출
PT	上	경로추적	임의의 경로가 포함된 값으로 변조 후 전송
PL	上	위치공개	불필요한 파일 및 디렉토리 존재
SN	上	데이터 평문전송	사이트의 중요정보 전송구간 평문 전송
CC	上	쿠키변조	쿠키의 내용 및 발행되는 쿠키에 중요한 정보 노출

 

이렇게 정의된 28가지 항목은 지금의 웹 어플리케이션 개발에서 굳이 하지 않아도되는 내용을 포함하고 있습니다.

가령 세션예측(SE) 취약점을 들어보면, 요즘 대부분의 어플리케이션 서버에서는 세션의 값을 단순한 숫자 문자 패턴으로 관리를 하지 않고 있습니다.

또한 Xpath 인젝션 같은 경우에는 요즘 추세에 맞지않는 개발방법에 대한 조치입니다. 

* Xpath라는 내용을 들어나 보셨습니까..?

대부분 Json형식이나 fom 형식으로 데이터를 주고받기 때문 입니다.

 

한국 인터넷 진흥원(KISA)에서 취약점에 대한 조치방법이나 과정이 너무 오래전 내용이라 무엇을 해야되는지 왜 해야되는지도 불분명 합니다.

아쉽게도 각각의 취약점에 대한 조치방법 매뉴얼 찾기가 매우 어렵습니다.

아래는 한국 인터넷 진흥원(KISA) 받을 수 있는 "주요정보통신기반시설 취약점 대비" 에 대한 가이드 문서 입니다.

내용을 보다 보면 너무 오래전 내용입니다...

 

표준취약점에 대비하는 방법을 구글링을 통해서 다양하게 수집한 다음에 하나하나씩 조치하는 것을 권장드립니다.

아니면 보안업체의 솔루션을 통해 진행하는 것이 좀 더 낫지 않을까 하는 의견을 조심스레 붙여 봅니다.

 

궁금한점 또는 틀린 부분은 언제든 연락주세요! 👻