Vulnerability Analysis 4

목차

• 권한 인증 취약점
• 에러 처리 취약점

 

권한 인증 취약점

취약점 설명

• 사용자 인증 등에 사용되는 여러 정보를 수정하여 접근 권한이 없는 정보에 접근하여 기밀 정보를 조회 또는 변경하고 악용할 수 있는 취약점

• URL/Parameter 변조: 웹 서버에 전송되는 모든 HTTP 요청 값(URL, Parameter 등)을 조작해 접근 권한이 없는 정보에 접근하는 방식이다.
  • EX) Dom XSS

• 세션 탈취(불충분한 세션 관리): 웹 애플리케이션 사용자가 로그인 시 발급되는 세션ID가 일정한 규칙을 가지고 발급되거나 세션 타임아웃을 너무 길게 설정한 경우 공격자가 사용자 세션ID가 유추하거나 유출되어 탈취된 뒤. 사용자의 권한이 도용되는 방식

 

• 쿠키 변조: 쿠키(Cookie)를 변조하여 다른 사용자로 전환하거나 권한 상승을 수행하는 방식
  • EX) CSRF

 

대응 방안

• 사용자 인증 등 중요기능 구현 시 가급적이면 Cookie 대신 Session 방식 사용(즉, 인증 절차시 클라이언트에서 보내준 Cookie 값 보다는 Session 값을 위주로 검증하겠다는 뜻)
• 사용자 인증 등 중요기능 구현 시 Cookie(또는 Session) 방식 활용 시 안전한 알고리즘(SEED, 3DES, AES 등)을 사용
• 중요한 정보가 있는 웹 페이지는 재인증(2차 인증)을 적용
• 개발시 안전하다고 확인된 라이브러리나 프레임워크(OpenSSL, ESAPI의 보안 기능 등)를 사용하여 개발
• 사용자 권한에 따른 ACL(Access Control List)을 설정
• 로그인할 때 마다 예측이 불가능한 새로운 세션ID를 발급하도록 설계하고 이 때 기존 세션ID는 파기한다.
• 세션 만료 시간을 설정하여 일정 시간 움직임이 없을 경우 자동으로 로그아웃 되도록 설정

 

 

에러 처리 취약점

 

정의

• 이름 그대로 에러 처리를 충분히 하지 않아 에러 메시지를 통해 일반 사용자에게는 불필요한 정보가 보여지는 취약점을 의미한다.

에러처리 취약점 대응 방안

• 별도의 에러 페이지를 제작하여 다양한 에러들이 발생했을 때 제작한 에러페이지로 리다이렉션 되도록 설정한다.
• 처리된 에러에 대한 메시지는 최소한으로 보여지도록 한다.
• 민감한 정보가 노출되어지는지 테스트 환경에서 다시 한 번 더 확인한다.