웹 취약점

학습 배경

• WAF 적용 시 cloud의 관리형 규칙에 따라 정상적인 요청들이 실패로 끝나는 경우를 방지하기 위해, 혹시 모를 해킹에 대비해 웹 취약점에 대해 정리하고자 한다.

과거 자료 기준 상위 5개의 웹 보안 취약점

1. SQL Injection (SQLI)

SQL, NoSQL 에서 신뢰할 수 없는 데이터가 명령 또는 쿼리의 일부로 전송돼 실행되는 취약점

• 이해하기 쉽게 예를 들면 SQL문을 통해 DB에 접근하여 민감정보가 유출될 수 있는 취약점

  • admin table을 조회하는 query에서 파라미터로 or 1=1을 포함한 문자열을 넘기는 경우 admin table의 모든 내용이 조회될 수 있다. 이런식으로 사용자 정보가 유출되는 경우가 종종 있음
  • 파라미터로 ; delete from admin; 이런식의 문자열을 넘기는 경우 중요한 테이블 정보가 삭제될 수도 있다
  • 일부러 에러를 발생시킬 수 있는 문자열을 넘기면 DB의 구조가 유출 될 수도 있다

• JPA를 사용하는 경우 이러한 Injection에서 안전하다 (출처 link)

  • JPA가 구현하는 hibernate의 경우 PreparedStatement를 사용

    -> 파라미터를 제외한 sql 구문을 미리 실행계획에 넣어두고, 실행시에는 파라미터만 갈아끼워서 사용

    -> 파라미터에 sql문이 포함되어 있어도 문자열로 처리됨

  • 단, 직접 EntityManager에 query를 작성하여 실행하는 경우에는 유의해야함

• myBatis를 사용하는 경우에는 #{} 방식으로 파라미터를 매핑하면 PreparedStatement를 사용하고 ${}방식으로 매핑하면 Statement를 사용하게 되어 SQLI에 유의해야 한다

  (출처 link)

2. XSS(Cross-Site Scripting)

악성 스크립트가 삽입된 게시글 클릭을 유도하여 사용자 정보를 탈취

• Reflected XSS

  XSS 공격을 위한 스크립트가 포함된 url을 공격 대상자에게 노출시키면 공격 대상자가 스크립트를 직접 실행하게 된다

• Stored XSS

  공격자는 스크립트를 게시글 등 db에 저장될 수 있는 곳에 저장한 뒤 공격 대상자가 해당 게시글 등에 접근할 수 있도록 유도한다 이 또한 공격 대상자가 서버로 스크립트 내용을 전송하게 된다

• DOM Based XSS

  쿼리로 직접적인 DOM의 제어를 하는 경우 공격자는 client-side에 생성된 DOM을 직접 제어하여 공격을 일으킬 수 있다
  

출처 link

3. 취약한 인증 및 세션관리

출처 link

• 취약한 개체 수준 인가

  • 사용자가 호출하려는 기능, 데이터 대상에 접근할 때 사용자에게 부여된 권한에 맞게 유효성 체크가 이루어져야 한다
  • /shops/{shopName}/data.json 같은 요청의 경우 제대로 권한 체크를 하지 않으면 공격자가 다른 가게의 정보를 빼낼 수 있다

• 취약한 사용자 인증

  • 공격자가 패스워드를 무작위로 대입해 로그인 시도를 할 수 있는 경우(로그인 실패 회수가 정해지지 않음)
  • 취약한 비밀번호를 허용한 경우
  • 토큰의 진위 여부를 확인하지 않거나 사용 만기 기간을 규정하지 않을 경우

• 취약한 기능 수준 인가

  • 일반 사용자가 관리자 API에 접근할 수 있는 경우
  • 일반 사용자가 데이터 생성/변경/삭제 등 부여받지 않은 작업을 수행할 수 있는 경우
  • 그룹마다 접근할 수 있는 데이터가 다른 경우 간단한 URL 입력만으로 접근할 수 있게 되는 경우

4. CSRF(Cross Script Request Forgery)

출처 link

• 사용자가 자신의 의지와 무관하게 공격자가 의도한 행위(데이터 수정, 삭제, 등록 등)을 서버에 요청하게 되는 공격
• 공격자는 쿠키 기반의 서버 세션 정보를 획득한 뒤 사용자가 악성 스크립트를 실행하도록 유도한다
• Referer check를 통해 공격 방어가 가능함
• api 서버의 경우 세션 없이 stateless 상태로 운영되기 때문에 csrf 대응을 할 필요가 없다(출처 link)

5. 불안한 암호화

민감데이터를 암호화하여 DB에 저장하여 조치할 수 있다

OWASP-10 2023 version

출처 : LG CNS 블로그

OWASP-10

• Open Web Application Security Project 단체에서 제공하는 웹앱 보안 취약점 TOP 10

• 기존에 익숙하게 들어봤던 Injection이 삭제되고 새로운 취약점들이 추가된 것이 흥미롭다
• 웹 보안 유지를 위해 이런 자료들을 주기적으로 확인하는 것이 좋을 것 같다

SSRF(Server-Side Request Forgery)

출처 link

공격자가 사용자가 아닌 서버를 통해 특정 작업을 수행하도록 공격하는 유형

client가 바로 내부 resource에 접근할 수는 없지만 서버에는 접근할 수 있는 경우 이 resource를 공격하는 방법이다

• 논 블라인드 SSRF : url 파라미터로 url을 넘기는 웹 어플리케이션의 경우 ?url=file:///etc/passwd 를 사용하여 서버의 password 같은 정보에 접근
• 블라인드 SSRF : 반드시 데이터를 반환하는 것은 아니고 서버 백엔드에 무단 작업을 수행하도록 하는 공격(서버의 어떤 것을 변경, 파일 수정/삭제, 권한 변경 등) 논 블라인드 SSRF 예시와 비슷하게 url 파라미터에 외부 서버의 비정상적으로 큰 용량의 파일 주소를 넣게 되면 결국 서버를 멈추게 할 수 있다
• url을 통채로 넘기지 않고 관련 리소스의 id만 넘기도록 하는 방식으로 취약점을 완화할 수 있다

그밖의 취약점

LFI, RFI

• LFI(Local File Inclusion)
  • 웹 어플리케이션에서 로컬 파일을 로드하도록 유도
  • 일반적으로 경로 조작 기법을 이용하여 공격(../../....)
• RFI(Remote File Inclusion)
  • 웹 어플리케이션에서 외부 파일을 로드하도록 유도
  • url에 외부 파일이 존재하는 경로를 입력하고 그 파일에 있는 스크립트를 실행하여 공격
• 해결 방안
  • 경로 이동 문자를 삽입할 수 없도록 필터링 (../)
  • realpath를 통한 경로에서만 값을 받아올 수 있도록 설정(위에꺼 사용 못하도록)
  • 파일 확장자 검사