전체 글(179)
-
[취약점] 불충분한 세션 만료
정의 세션의 만료 기간을 정하지 않거나, 만료기한이 너무 길게 설정됐을 경우 생기는 취약점을 의미한다. 공격 시나리오 악의적인 사용자가 만료되지 않은 세션을 활용하여 불법적인 접근이 가능할 수 있다. 대응 방안 세션 종료 시간 설정 또는 자동 로그아웃 기능 구현(세션 종료 시간은 웹 사이트 또는 기업에 따라 다를 수 있으므로 이에 맞게 적정 시간 설정) 판단 기준 주요정보통신기반시설 양호 : 세션 종료 시간이 설정되어 있는 경우 취약 : 세션 종료 시간이 설정되어 있지 않아 세션 재사용이 가능한 경우 점검 예시 주요정보통신기반시설 인증 후 정상적으로 세션이 발행된 페이지의 리퀘스트를 취득하여 일정 시간이 경과 후에 재전송 시 정상 처리가 되는지 확인 전자금융기반시설 이용자 로그인 후 일정시간 이후 동일 ..
2024.03.23 -
[취약점] 불충분한 인가
정의 접근제어가 필요한 중요 페이지에 대한 통제수단이 미흡할 때 생기는 취약점을 의미한다. 공격 시나리오 접근 권한이 없는 비인가자가 URL 파라미터 값 변경 등의 방법으로 중요 페이지에 접근하여 민감한 정보 열람 및 변조할 수 있다. 대응 방안 접근제어가 필요한 모든 페이지에 권한검증 로직 구현 판단 기준 주요정보통신기반시설 양호 : 접근제어가 필요한 중요 페이지의 통제수단이 적절하여 비인가자의 접근이 불가능한 경우 취약 : 접근제어가 필요한 중요 페이지의 통제수단이 미흡하여 비인가자의 접근이 가능한 경우 점검 예시 주요정보통신기반시설 비밀 게시글, 개인정보 열람, 비밀번호 변경 등의 페이지에서 타 사용자와의 구분을 ID, 일련번호 등의 단순한 값을 사용하는지 조사 게시글을 구분하는 파라미터 값을 변경..
2024.03.23 -
[취약점] 크로스사이트 리퀘스트 변조(CSRF)
정의 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹 사이트에 요청하게 하는 취약점을 의미한다. 공격 시나리오 사용자의 신뢰(인증) 정보 내에서 사용자의 요청을 변조하여 해당 사용자의 권한으로 악의적인 공격을 수행할 수 있다. 대응 방안 사용자 입력 값에 대해 검증 로직 및 필터링 추가 적용 판단 기준 주요정보통신기반시설 양호 : 사용자 입력 값에 대한 검증 및 필터링이 이루어지는 경우 취약 : 사용자 입력 값에 대한 필터링이 이루어지지 않으며, HTML 코드(또는 스크립트)를 입력하여 실행되는 경우 점검 예시 주요정보통신기반시설 웹 사이트 내에 XSS 취약점이 존재하는지 확인 등록 및 변경 등의 데이터 수정 기능의 페이지가 있는지 조사(개인정보, 게시글 등) ..
2024.03.23 -
[취약점] 불충분한 인증
정의 중요 페이지 접근 시 추가적인 인증 절차가 불충분한 경우 생기는 취약점을 의미한다. 주로 사용자 개인정보가 출력되는 페이지나 개인정보 변경 페이지에 접근 시 해당된다. 공격 시나리오 중요정보 페이지에 대한 인증 절차가 불충분한 경우 권한이 없는 사용자가 중요정보 페이지에 접근하여 정보를 유출하거나 변조할 수 있다. 대응 방안 중요정보 페이지에 대한 추가 인증 로직 추가 구현 판단 기준 주요정보통신기반시설 양호 : 중요정보 페이지 접근 시 추가 인증을 하는 경우 취약 : 중요정보 페이지 접근에 대한 추가 인증을 하지 않는 경우 점검 예시 주요정보통신기반시설 중요정보(개인정보 변경 등) 페이지 접근 시 재인증 여부 확인 인증 후 페이지에 아이디만을 인증 값으로 하여 변수로 관리되고 있는지 확인 전자금융..
2024.03.23 -
[취약점] 약한 문자열 강도
정의 웹 사이트에서 취약한 패스워드로 회원가입이 가능할 경우 공격자는 추측 및 주변 정보를 수집하여 작성한 사전 파일로 대입을 시도하여 사용자 계정을 탈취할 수 있는 취약점을 의미한다. 공격 시나리오 유추가 용이한 계정 및 패스워드의 사용으로 인한 사용자 권한 탈취 위험이 존재한다. 대응 방안 계정 및 비밀번호 복잡도 준수 여부 체크 로직 구현 판단 기준 주요정보통신기반시설 양호 : 관리자 계정 및 패스워드가 유추하기 어려운 값으로 설정되어 있으며, 일정 횟수 이상 인증 실패 시 로그인을 제한하고 있는 경우 취약 : 관리자 계정 및 패스워드가 유추하기 쉬운 값으로 설정되어 있으며, 일정 횟수 이상 인증 실패 시 로그인을 제한하고 있지 않은 경우 점검 예시 주요정보통신기반시설 웹 사이트 로그인 페이지의 로..
2024.03.23 -
[취약점] 크로스사이트 스크립팅(XSS)
정의 악의적인 사용자가 공격하려는 웹 사이트에 스크립트를 삽입하여 클라이언트 웹 브라우저에서 스크립트가 작동하도록 만드는 취약점이며 크게 Stored XSS, Reflected XSS 공격 방식으로 나뉜다. 공격 시나리오 사용자 입력 값을 받는 게시판(Stored XSS), URL(Reflected XSS) 등에 악의적인 스크립트를 삽입하여 게시글이나 이메일을 읽는 사용자의 쿠키 혹은 세션을 탈취하여 도용하거나 CSRF, 악성코드 유포 사이트로 리디렉트 하게 만들 수 있다. 대응 방안 웹 사이트 게시판, URL 등에서 사용자 입력 값에 대해 검증 로직 추가 웹 페이지에서 HTML을 사용하는 경우 HTML 코드 중 필요한 코드에 대해서만 입력되게 설정(HTML 대체코드) 판단 기준 주요정보통신기반시설 양호..
2024.03.23