정보 보안/취약점(18)
-
[취약점] 크로스사이트 스크립팅(XSS)
정의 악의적인 사용자가 공격하려는 웹 사이트에 스크립트를 삽입하여 클라이언트 웹 브라우저에서 스크립트가 작동하도록 만드는 취약점이며 크게 Stored XSS, Reflected XSS 공격 방식으로 나뉜다. 공격 시나리오 사용자 입력 값을 받는 게시판(Stored XSS), URL(Reflected XSS) 등에 악의적인 스크립트를 삽입하여 게시글이나 이메일을 읽는 사용자의 쿠키 혹은 세션을 탈취하여 도용하거나 CSRF, 악성코드 유포 사이트로 리디렉트 하게 만들 수 있다. 대응 방안 웹 사이트 게시판, URL 등에서 사용자 입력 값에 대해 검증 로직 추가 웹 페이지에서 HTML을 사용하는 경우 HTML 코드 중 필요한 코드에 대해서만 입력되게 설정(HTML 대체코드) 판단 기준 주요정보통신기반시설 양호..
2024.03.23 -
[취약점] 악성 콘텐츠
정의 웹 사이트 내 게시판, 댓글, 자료실 등에 정상적인 콘텐츠 대신 악의적인 콘텐츠를 삽입 및 실행할 수 있는 취약점을 의미한다. 공격 시나리오 악성 콘텐츠가 삽입된 콘텐츠 열람 시 악성코드 감염 및 웹 페이지 변조 등 보안상 심각한 위험에 노출될 가능성이 있다. 대응 방안 사용자 입력 값에 대한 검증 로직 추가 및 실행 제한 설정 판단 기준 주요정보통신기반시설 양호 : 악의적 콘텐츠가 실행되지 않는 경우 취약 : 악의적 콘텐츠가 입력되며, 실행되는 경우 점검 예시 주요정보통신기반시설 콘텐츠 삽입 및 파일 업로드 제한 필터링 적용 여부 점검 게시판 등의 페이지에서 강제적으로 이뤄지는 악의적인 프로그램 다운로드 및 콘텐츠 자동 실행이나 악의적인 사이트로의 이동이 발생하는지 확인 전자금융기반시설 리다이렉트..
2024.03.23 -
[취약점] 정보 누출
정의 웹 서비스 시 불필요한 정보가 노출되는 취약점이며 예를 들면 웹 사이트에 중요정보(개인정보, 계정정보, 금융정보 등)가 노출되거나 에러 발생 시 과도한 정보(애플리케이션 정보, DB 정보, 웹 서버 구성 정보, 개발 과정에서의 주석 혹은 코멘트 등)가 노출되는 것을 의미한다. 공격 시나리오 불필요한 정보가 노출될 시 공격자들에 의해 2차 공격의 정보로 활용될 수 있다. 대응 방안 웹 사이트에 노출되는 중요정보는 마스킹 적용 발생 가능한 에러에 대해 최소한의 정보 또는 사전에 준비된 메시지만 출력 판단 기준 주요정보통신기반시설 양호 : 웹 사이트에 중요정보가 노출되지 않고, 에러 발생 시 과도한 정보가 노출되지 않는 경우 취약 : 웹 사이트에 중요정보가 노출되거나, 에러 발생 시 과도한 정보가 노출되..
2024.03.23 -
[취약점] 디렉터리 인덱싱
정의 특정 디렉터리에 초기 페이지 (index.html, home.html, default.asp 등)의 파일이 존재하지 않을 때 웹 브라우저 주소창에 해당 디렉터리 경로를 입력하면 디렉터리 파일 리스트를 출력하는 취약점을 의미한다. 공격 시나리오 웹 브라우저를 통해 특정 디렉터리 내 파일 리스트를 노출하여 응용시스템의 구조를 외부에 허용할 수 있고, 민감한 정보가 포함된 설정 파일 등이 노출될 수 있다. 대응 방안 웹 서버 설정을 변경하여 디렉터리 파일 리스트가 노출되지 않도록 설정 특정 디렉터리의 초기 페이지 파일 생성 판단 기준 주요정보통신기반시설 양호 : 디렉터리 파일 리스트가 노출되지 않는 경우 취약 : 디렉터리 파일 리스트가 노출되는 경우 점검 예시 주요정보통신기반시설 URL 경로 중 확인하고..
2024.03.22 -
[취약점] SQL 인젝션
정의 대화형 웹 사이트에 비정상적인 사용자 입력 값으로 웹 사이트 SQL 쿼리가 완성되는 약점을 이용하며, 입력 값을 변조하여 비정상적인 SQL 쿼리를 조합하거나 실행하는 공격하는 취약점을 의미한다. 공격 시나리오 사용자 입력 값에 임의의 SQL 구문을 삽입하여 변조된 비정상적인 SQL 쿼리로 DBMS 및 데이터를 열람하거나 조작한다. 대응 방안 소스코드에 SQL 쿼리를 사용자 입력 값으로 받는 함수나 코드를 사용하는 경우, 임의의 SQL 쿼리 입력에 대한 검증 로직 구현하여 서버에 검증되지 않은 SQL 쿼리 요청 시 에러 페이지가 아닌 정상 페이지가 반환되도록 필터링 처리 웹 방화벽에 SQL 인젝션 관련 룰셋을 적용 판단 기준 주요정보통신기반시설 양호 : 임의로 작성된 SQL 쿼리 입력에 대한 검증이 ..
2024.03.22 -
[취약점] 운영체제 명령 실행
정의 웹 사이트 내에서 운영체제 명령을 실행하는 것으로 적절한 검증 절차를 거치지 않은 사용자 입력 값에 의해 의도치 않은 시스템 명령어가 실행되는 취약점을 의미한다. 공격 시나리오 부적절하게 권한이 변경되거나 시스템 동작 및 운영에 악영향을 줄 가능성이 존재한다. 대응 방안 취약한 버전의 웹 서버 및 웹 애플리케이션 서버를 최신 버전으로 업데이트 애플리케이션에서 운영체제 명령어를 직접적으로 호출하는 기능 제거, 부득이하게 사용해야 하는 경우 특수문자, 특수 구문에 대한 검증 기능 구현("|", "&", ";", "`" 등의 특수문자) 판단 기준 주요정보통신기반시설 양호 : 임의의 명령어 입력에 대한 검증이 이루어지는 경우 취약 : 임의의 명령어 입력에 대해 명령이 실행되는 경우 점검 예시 주요정보통신기..
2024.03.22