정보보안 - OWASP10 (2019)

Web 보안

웹 서비스 공격

• 웹서비스 공격
  • 최신 해킹 경향 (새로운 공격 기법 발견)
  • OWASP 10 : 3년마다 10 개의 주요 취약점 발표
• 사용자 PC(컴퓨터) 공격
  • Client 취약점
• 웹서버 공격
  • 웹 서버 취약점
  • F/W 필터링을 통과하여 내부 네트워크 공격

OWASP 10 (Open Web Application Security Project) (2017)

• A1. Injection
  • 종류
    • SQL Injection
    • OS Injection
    • LDAP Injection
    • XPath Injection
    • NoSQL Injection
  • 보호
    • Injection 탐지
      • SQL Injection 탐지
      • 명령어 Injection 탐지
• A2. 취약한 인증 (Broken Authentication)
  • 개요
    • 해커가 암호나 키 (PW키, 세션토큰, 쿠키) 를 악용하여 사용자 신원을 가장
  • 보호
    • 쿠키 탐지 : 쿠키 위조여부
• A3. 민감한 정보 노출
  • 개요
    • 중요한 데이터 (개인식별정보, 신용카드정보, 개인신원정보 등) 의 보호나 암호화가 부족
  • 보호
    • SSL : Https
    • 개인정보 유출 탐지, 차단, 마스킹
• A4. XML 외부 개체
  • 개요
    • XML 프로세서가 오래된 경우 혹은 잘못된 설정이 되어있는 경우
    • XML 문서 내에서 외부개체를 사용할 경우 발생하는 취약점
      • 파일URI핸들러
      • 내부파일 공유
      • 포트스캔
      • 원격코드실행
    • DoS 공격이나 내부정보 유출 가능성이 있음
• A5. 취약한 접근 통제
  • 개요
    • 인증된 사용자의 접근권한 (작업에 대한 제한) 이 잘못 설정되어 있는 경우
• A6. 잘못된 보안설정
  • 개요
    • 애플리케이션 서버, 프레임워크, 웹서버, DB서버, S/W 보안설정 정의필요
    • 소프트웨어 최신상태 유지
  • 보호
    • 디렉토리 목록 숨김
    • 오류페이지 숨김
    • 악성파일 업로드 탐지
    • 기본페이지 접근 탐지 : HTTP 요청 Data 검사
• A7. 크로스 사이트 스크립팅 (XSS)
  • 개요
    • 어플리케이션이 신뢰할 수 없는 데이터를 가져와서 제대로 된 승인 없이 웹브라우저에 전송
    • Stored XSS
    • DOM XSS
    • Reflect XSS
    • 브라우저에서 스크립트를 실행해 세션 탈취
    • 악의적인 내용을 실행해 웹 사이트 훼손
  • 보호
    • XSS 탐지 : HTTP 요청 데이터 검사
• A8. 불안전한 역직렬화
  • 개요
    • 원격 코드 실행
    • 공격 재생
    • Injection
    • 권한상승 공격
• A9. 취약점이 있는 컴포넌트 사용
  • 개요
    • 컴포넌트 라이브러리, 소프트웨어 모듈 등에 의한 취약점의 증가
  • 보호
    • 애플리케이션 취약점 탐지 : HTTP 요청 데이터 검사
    • 취약점이 잘 알려진 컴포넌트를 사용하지 않음
• A10. 불충분한 로깅 & 모니터링
  • 개요
    • 사고 대응에 대한 대응책 미비
    • 불충분한 환경이 지속될 경우 내부 탐지 불가, 침해 탐지도 오래 걸림