Vulnerability Analysis 1

목차

• Admin Page Exposure 
• Directory listing Vulnerability
• System Management Vulnerability

 

Admin Page Exposure

정의

• 웹 브라우저에서 간단한 키워드만으로 검색해도 관리자 페이지가 노출되는 취약점이다.

 

보안 위협

• 웹 관리자의 권한이 노출될 경우 웹 사이트의 변조뿐만 아니라 취약성 정도에 따라서 웹 서버의 권한까지도 노출될 수 있다.

 

점검 대상

• 웹 애플리케이션 소스코드, 웹 서버, 웹 방화벽

 

점검 방법

• 추측하기 쉬운 관리자 페이지 경로(/admin, /manager, /master, /system 등) 접근을 시도하여 관리자 페이지가 노출되는지 확인한다.

 

• 관리자 페이지의 로그인 창에 기본 관리자 계정(admin, administrator, manager 등) 및 패스워드를 입력하여 로그인 가능한지 확인한다.

 

• 관리자 페이지 로그인 후 식별된 하위 페이지(/admin/main.asp, /admin/menu.html 등) URL을 새 세션에서 직접 입력하여 인증 과정 없이 접근 가능한지 확인한다.

 

보안 설정 방법 

• 관리자 페이지의 하위 페이지 URL을 직접 입력하여 접근하지 못하도록 페이지마다 세션 검증이 필요하다. 
• 관리자 페이지 이외에도 특정 사용자만 접근 가능한 페이지들도 정상적인 프로세스에 따라 접근할 수 있도록 페이지마다 세션 검증이 필요하다.
• 웹 방화벽을 이용하여 특정 IP만 접근 가능할 수 있도록 룰셋 적용한다.
• 부득이하게 관리자 페이지를 외부로 노출 시켜야 할 경우,
  • 일반 사용자의 접근이 불필요한 관리자 로그인 페이지 주소를 유추하기 어려운 이름으로 변경하고 관리자 페이지 접근 포트도 주기적으로 변경한다. 
  • 2차 인증(인증서, OTP, VPN) 등을 활용한다. 

 

Directory listing Vulnerability

정의

• 특정 주소를 입력하여 특정 웹 서버 안에 있는 디렉토리에 접근하여 웹서버 구조, 소스 파일, 백업 파일, 기타 중요 파일이 노출되는 취약점을 말한다.

 

보안 위협

• 디렉터리 검색 기능이 활성화 되어 있을 경우, 사용자에게 디렉터리내 파일 이 표시되어 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일, 공개 되어서는 안되는 파일 등이 노출 가능성이 있다. 

 

점검 대상

• SOLARIS, LINUX, AIX, HP-UX 등

 

판단 기준

• 디렉터리 검색 기능을 사용하는가
• 위 명령어를 입력하면, 아래와 같이 Options 지시자에 Indexes 설정되어있는지 확인가능하다

 

조치 방법

• 디렉터리 검색 기능을 제거한다.  (/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉터리의 Options 지시자에서 Indexes 옵션 제거)
• Indexes를 삭제하거나,
• -Indexes를 입력한다.

 

System Management Vulnerability

정의

• 시스템 관리: 사용자 계정 관리 및 사용자 데이터 백업 및 복구, 사용자 요구 소프트웨어 관리 등 여러가지 의미를 내포한다.
• 시스템 관리 취약점: 사용자 계정 관리 및 백업 및 복구 등의 점검 및 조치가 미흡한 상태를 말한다.
• 추상적이라 방대한 범위를 포함하고 있어 그 중 하나를 예를 들어 설명한다.
  • 계정관리 > 계정 잠금 임계값 설정
  • 점검 내용: 사용자 계정 로그인 실패 시 계정잠금 임계값이 설정되어 있는지 점검
  • 점검 목적: 계정탈취 목적의 무작위 대입 공격 시 해당 계정을 잠금하여 인증 요청에 응답하는 리소스 낭비를 차단하고 대입 공격으로 인한 비밀번호 노출 공격 을 무력화하기 위함 
  • 보안 위협: 패스워드 탈취 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등)의 인 증 요청에 대해 설정된 패스워드와 일치 할 때까지 지속적으로 응답하여 해 당 계정의 패스워드가 유출 될 수 있음

 

점검 대상

• SOLARIS, LINUX, AIX, HP-UX 등 

 

판단 기준

• 양호 : 계정 잠금 임계값이 10회 이하의 값으로 설정되어 있는 경우 
• 취약 : 계정 잠금 임계값이 설정되어 있지 않거나, 10회 이하의 값으로 설정되지 않은 경우 

 

조치 방법

• 계정 잠금 임계값을 10회 이하로 설정

 

■ SOLARIS 5.9 이하 버전 

• Step 1) vi 편집기를 이용하여 “/etc/default/login” 파일 열기
• Step 2) 아래와 같이 수정 또는, 신규 삽입 
  • (수정 전) #RETRIES=2
  • (수정 후) RETRIES=10

 

■  SOLARIS 5.9 이상 버전 

• Step 1) vi 편집기를 이용하여 “/etc/default/login” 파일 열기 
• Step 2) 아래와 같이 수정 또는, 신규 삽입 (계정 잠금 횟수 설정) 
  • (수정 전) #RETRIES=2 
  • (수정 후) RETRIES=10 
•  Step 3) vi 편집기를 이용하여 “/etc/security/policy.conf”  파일 열기
•  Step 4) 아래와 같이 수정 또는, 신규 삽입(계정 잠금 정책사용 설정) 
  • (수정 전) #LOCK_AFTER_RETRIES=NO 
  • (수정 후) LOCK_AFTER_RETRIES=YES

 

 

출처

• KISA 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드
  • https://www.kisa.or.kr/2060204/form?postSeq=12&lang_type=KO&page=1