정의 서버와 클라이언트 간 통신 시 데이터의 암호화 전송이 미흡한 취약점을 의미한다. 공격 시나리오 웹 상의 데이터 통신은 대부분 텍스트 기반으로 이루어지기 때문에 서버와 클라이언트 간에 암호화 프로세스를 구현하지 않으면 공격자는 간단한 도청 행위를 통해 정보를 탈취 및 도용할 수 있다. 대응 방안 웹 사이트의 중요정보 전송구간(로그인, 회원가입, 회원정보관리, 게시판 등) 암호화 통신(https, 애플리케이션방식) 적용 판단 기준 주요정보통신기반시설 양호 : 중요정보 전송구간에 암호화 통신이 적용된 경우 취약 : 중요정보 전송구간에 암호화 통신이 이루어지지 않는 경우 점검 예시 주요정보통신기반시설 중요정보(인증정보, 개인정보 등)를 송수신하는 페이지 존재 여부 확인 중요정보 송수신 페이지가 암호화 통신..

정의 웹 사이트에서 파일 다운로드 시 허용된 경로 외 다른 경로의 파일에 접근할 수 있는 취약점을 의미한다. 공격 시나리오 공격자는 파일 다운로드 시 애플리케이션의 파라미터 값을 조작하여 웹 사이트의 중요한 파일 또는 웹 서버 루트에 있는 중요한 설정 파일을 다운로드할 수 있으며 이는 곧 2차 피해로 이어질 수 있다. 대응 방안 다운로드 시 허용된 경로 이외의 디렉터리와 파일에 접근할 수 없도록 구현 판단 기준 주요정보통신기반시설 양호 : 다운로드 파일이 저장된 디렉터리 이외에 접근이 불가능한 경우 취약 : 다운로드 파일이 저장된 디렉터리 이외에 접근이 가능한 경우 점검 예시 주요정보통신기반시설 웹 사이트에 cgi, jsp, asp, php 등의 애플리케이션을 이용하여 파일을 다운로드하는 웹 페이지가 있..

정의 웹 사이트의 게시판, 자료실 등에 조작된 Server Side Script 파일을 업로드하여 웹 상에서 실행시키는 취약점을 의미한다. 공격 시나리오 공격자는 조작된 Server Side Script 파일을 서버에 업로드한 후 웹 상에서 실행하여 시스템 관리자 권한 획득 또는 인접 서버에 대한 침입을 시도할 수 있다. 대응 방안 업로드되는 파일에 대한 확장자 검증 및 실행 권한 제거 판단 기준 주요정보통신기반시설 양호 : 업로드되는 파일에 대한 확장자 검증이 이루어지는 경우 취약 : 업로드되는 파일에 대한 확장자 검증이 이루어지지 않는 경우 점검 예시 주요정보통신기반시설 웹 사이트에 파일 업로드 기능이 존재하는 경우, 확장자가 jsp, asp, php, cgi 등의 Server Side Script ..

정의 인증이 필요한 모든 페이지에 대해 비인가자가 하위 URL에 직접 접근, 스크립트 조작 등의 방법으로 중요한 페이지에 접근할 수 있는 취약점을 의미한다. 공격 시나리오 인증이 필요한 웹 사이트의 중요 페이지에 대한 접근 제어가 미흡할 경우 하위 URL에 직접 접근, 스크립트 조작 등의 방법으로 중요한 페이지에 대한 접근이 가능할 수 있다. 대응 방안 인증이 필요한 페이지의 경우 페이지별 권한 체크 로직 구현 판단 기준 주요정보통신기반시설 양호 : 인증 후에 접근해야 하는 웹 사이트의 하위 URL을 로그인하지 않고 직접 접근할 때 접근이 불가능한 경우 취약 : 웹 사이트의 하위 URL을 로그인하지 않고 직접 접근할 때 접근이 가능한 경우 점검 예시 주요정보통신기반시설 업무프로세스 파악 권한 종류 및 범..

정의 웹 애플리케이션에서 특정 프로세스에 대한 반복적인 요청을 통제하지 않을 때 생기는 취약점을 의미한다. 공격 시나리오 무차별 대입 공격으로 사용자 계정의 비밀번호를 알아내어 탈취할 수 있으며 게시글 등록 또는 SMS 발송 요청 자동화 스크립트를 만든 후 실행하여 웹 애플리케이션 자원을 고갈시킬 수 있다. 대응 방안 웹 애플리케이션에 대한 대량 사용 통제 로직 구현 웹 방화벽 룰셋 설정을 통해 대량의 불특정 프로세스 요청 차단 판단 기준 주요정보통신기반시설 양호 : 웹 애플리케이션의 특정 프로세스에 대한 반복적인 요청 시 통제가 적절한 경우 취약 : 웹 애플리케이션의 특정 프로세스에 대한 반복적인 요청 시 통제가 미흡한 경우 점검 예시 주요정보통신기반시설 로그인 시도, 게시글 등록, SMS 발송 등에 ..

정의 사용자 로그인 시 항상 일정하게 고정된 세션 ID를 발행할 때 생기는 취약점을 의미한다. 공격 시나리오 고정된 세션 ID가 발행되는 경우 세션 ID를 도용한 비인가자의 접근 및 권한 우회 가능성이 생길 수 있다. 대응 방안 사용자가 로그인할 때마다 예측 불가능한 새로운 세션 ID 생성 로직 구현 새로운 세션 ID 발행 후 기존 세션 ID는 파기 판단 기준 주요정보통신기반시설 양호 : 로그인할 때마다 예측 불가능한 새로운 세션 ID가 발행되고, 기존 세션 ID는 파기될 경우 취약 : 로그인 세션 ID가 고정 사용되거나 새로운 세션 ID가 발행되지만 예측 가능한 패턴으로 발행될 경우 점검 예시 주요정보통신기반시설 로그인 시 세션 ID가 발행되는지 확인하고 로그아웃 후 다시 로그인할 때 예측 불가능한 새..