Knowledge/Web
-
2017 OWASP A10 : 불충분한 로깅 및 모니터링Knowledge/Web 2019. 6. 20. 09:11
오늘도 굉장히 한눈에 알아볼수 없을 애매한 단어로 되어있는 녀석에 대해서 탐구하도록 하자. A10항목은 새롭게 생겼으며 업계의 설문조사를 통해서 상위 10에 올라왔습니다. 한줄요약으로 오늘은 정리가 가능하다. 불충분한 로깅 및 모니터링 : 사용자들의 로그를 남기고 모니터링을 함에 있어서 부실할 때 발생하는 취약점들 사실 이 말을 이해하신다면 OWASP에서 어떻게 적어놨는지 쉽게 이해하실 수 있으실 겁니다. "" 불충분한 로깅과 모니터링은 사고 대응의 비효율적인 통합 또는 누락과 함께 공격자들이 시스템을 더 공격하고, 지속성을 유지하며, 더 많은 시스템을 중심으로 공격할 수 있도록 만들고, 데이터를 변조, 추출 또는 파괴할 수 있습니다. 대부분의 침해 사례에서 침해를 탐지하는 시간이 200일이 넘게 걸리는..
-
2017 OWASP A6 : 잘못된 보안 구성Knowledge/Web 2019. 6. 16. 21:51
안녕하세요. 오늘은 OWASP의 6번으로 선정되어진 잘못된 보안 구성에 대해서 포스팅 하겠습니다. 잘못된 보안 구성 잘못된 보안 구성, 굉장히 두루뭉실하며 네이밍하기에는 너무 추상적인 단어 조합이다. 그렇기에 예를 들어서 구체적인 상황들로써 좀더 명확한 개념을 알아보도록 하자. 잘못된 보안 구성이란 뭘까, 한마디로 인간적인 실수를 예로 들을 수가 있다. 취약한 버전으로 알려진 버전의 어플리케이션을 사용한다던가 무심코 열어둔 텔넷, 접근 거부 설정을 하지 않아서 나타나는 디렉토리 인덱싱, 우리한테 친절하게 어디가 틀려줬는지 알려주려고 만들어논 에러구문을 역이용한 정보수집등 우리가 초기에 설정할 때 보안상 설정해주어야 하지만 하지 않은 것들을 바로 잘못된 보안 구성이라고 말한다. 그럼 대충 감이 오기 시작하..
-
2017 OWASP A4 : XML 외부개체 / XXE (XML External Entity) 취약점Knowledge/Web 2019. 6. 16. 00:15
XXE 취약점에 대해 알기 위해서는 사전적으로 XML이란 무엇인지에 대해서 알고 있어야한다. XML이란 html의 한계를 극복하기 위해 만들어진 마크업 언어로 인터넷에 연결된 시스템끼리 데이터를 쉽게 주고 받을 수 있게 하기 위해서 만들어진 언어이다. html과 다른점은 서로간의 데이터 전송을 위해서 사용된다는 것과 사용자의 눈에 보이지 않는 비가시적인 특성을 갖고 있다. 이러한 XML에서 오래되고 설정이 부실한 프로세서들은 XML 문서 내에서 외부 개체 참조를 평가하게 된다. 외부 개체는 파일 URI 처리기나 내부 파일 공유, 내부 포트 스캔, 원격 코드 실행과 서비스 거부 공격을 사용하여 내부 파일을 확인하는데 사용 할 수가 있습니다. OWASP의 위험도 산정 기준을 보면 공격 가능성 : 2 확산정도..
-
2017 OWASP A8 : 안전하지 않은 역직렬화 (역직렬화 취약점 - 원격 코드 실행)Knowledge/Web 2019. 6. 5. 00:19
2017 OWASP에 8위로 선택된 안전하지 않은 역직렬화에 대해서 정리해보려고 합니다. 안전하지 않은 역직렬화는 이번 2017년도에 새롭게 기재된 항목으로 예전에는 원격코드 실행 취약점에 속해있었다고 봐도 무방해보입니다. 그렇다면 역직렬화란 무엇일까? 간단하게 말하면 서로간에 원활한 통신을 위해 데이터를 스트림하기 위해 직렬화를 시키고 그 직렬화된 데이터 스트림을 다시 받고 역직렬화 해서 데이터를 확인하는 과정을 말합니다. 안전하지 않은 역직렬화는 종종 원격 코드 실행으로 이어집니다. 역직렬화 취약점이 원격 코드 실행 결과를 가져오지 않더라도 이는 권한 상승 공격, 주입 공격과 재생 공격을 포함한 다양한 공격 수행에 사용될 수 있습니다. 공격 가능성 : 1 확산 정도 : 2 탐지 가능성 : 2 기술 :..