개요
운영 중인 정보시스템(서버, 네트워크, 응용시스템 등)에 대해 OWASP Top 10 취약점, 국정원 8대 취약점 등을 기준으로 취약점을 식별하고 대응방안을 제시하는 컨설팅 서비스입니다.
(개인)정보보안
운영 중인 정보시스템(서버, 네트워크, 응용시스템 등)에 대해 OWASP Top 10 취약점, 국정원 8대 취약점 등을 기준으로 취약점을 식별하고 대응방안을 제시하는 컨설팅 서비스입니다.
| 취약점 | 내용 |
|---|---|
| Injection | 공격자가 웹 어플리케이션으로 비정상적인 명령어, 쿼리 등을 보내 시스템에 접근할 수 있는 취약점 |
| Broken Authentication (취약한 인증) |
인증 및 세션 관리와 관련된 웹 어플리케이션의 기능이 잘못 구현되어 공격자가 암호, 키 또는 세션 토큰을 위험에 노출시키거나 일시적 또는 영구적으로 다른 사용자의 권한 획득을 위해 악용하도록 허용할 수 있는 취약점 |
| Sensitive Data Exposure (민감한 데이터 노출) |
데이터 평문 전송 등으로 개인 식별 정보나 신용정보를 공격자에게 노출 |
| XML External Entities (XXE) |
취약하게 설정된 XML parser에 의해 공격자가 XML 문서에서 외부 엔티티를 이용하여 공격자가 의도하는 외부 URL 을 실행시킨 뒤, 서버의 로컬파일 정보 등을 출력하거나 DOS 공격을 수행할 수 있는 취약점 |
| Broken Access Control (취약한 접근 통제) |
인증된 사용자가 수행할 수 있는 작업에 대한 제한이 제대로 적용되어 있지 않아 공격자가 이를 악용하여 다른 사용자 계정에 접근하거나 중요 파일 열람, 다른 사용자 데이터 수정, 액세스 권한 변경 등과 같은 악의적인 행위를 하는 취약점 |
| Security Misconfiguration (잘못된 보안 구성) |
안전하지 않은 기본 구성, 불완전한 구성 또는 임시 구성, 개방된 클라우드 스토리지, 잘못 구성된 HTTP 헤더 및 민감한 정보가 포함된 자세한 에러 메시지 등으로 인한 취약점 |
| Cross-Site Scripting (XSS) | XSS 는 공격자가 피해자의 브라우저에 악의적인 스크립트를 넣는 공격 기법이다. 공격자는 피해자의 브라우저에 스크립트를 실행하여 사용자 세션 탈취, 웹 사이트 변조, 악의적인 사이트로 이동할 수 있도록 허용하는 취약점 |
| Insecure Deserialization (안전하지 않은 역직렬화) |
- 직렬화 : 객체를 직렬화하여 전송 가능한 형태로 만드는 것 - 역직렬화 : 저장된 파일을 읽거나 전송된 스트림 데이터를 읽어 원래 객체의 형태로 복원하는 것 --> 데이터를 역직렬화하는 과정에서 원격코드 실행이나 권한 상승 등의 취약점이 발생 |
| Using Components with Known Vulnerabilities (알려진 취약점이 있는 구성 요소 사용) |
라이브러리, 프레임워크 및 다른 소프트웨어 모듈 같은 컴포넌트는 어플리케이션과 같은 권한으로 실행되는데 취약한 컴포넌트가 악용되는취약점 |
| Insufficient Logging & Monitoring (불충분한 로깅 및 모니터링) |
불충분한 로깅 및 모니터링, 사고 대응의 비효율적인 통합 또는 누락과 함께 공격자는 시스템을 추가로 공격하고 지속성을 유지하며 더 많은 시스템을 중심으로 공격할 수 있도록 만들고, 데이터를 변조, 추출 또는 파괴 |
| 점검 항목 | 항목 중요도 | 점검 항목 | 항목 중요도 |
|---|---|---|---|
| 버퍼 오버플로우 | 상 | 크로스사이트 리퀘스트 변조(CSRF) | 상 |
| 포맷스트링 | 상 | 세션 예측 | 상 |
| DAP 인젝션 | 상 | 불충분한 인가 | 상 |
| 운영체제 명령 실행 | 상 | 불충분한 세션 만료 | 상 |
| SQL 인젝션 | 상 | 세션 고정 | 상 |
| SSI 인젝션 | 상 | 자동화 공격 | 상 |
| XPath 인젝션 | 상 | 프로세스 검증 누락 | 상 |
| 디렉터리 인덱싱 | 상 | 파일 업로드 | 상 |
| 정보 누출 | 상 | 파일 다운로드 | 상 |
| 악성 콘텐츠 | 상 | 관리자 페이지 노출 | 상 |
| 크로스사이트 스크립트 | 상 | 경로 추적 | 상 |
| 약한 문자열 강도 | 상 | 위치 공개 | 상 |
| 불충분한 인증 | 상 | 데이터 평문 전송 | 상 |
| 취약한 패스워드 복구 | 상 | 쿠키 변조 | 상 |
| 취약점 | 내용 |
|---|---|
| 디렉토리 리스팅 취약점 |
홈페이지의 속성을 설정하는 “웹사이트 등록정보”에 특정 디렉토리에 대하여 - IIS 웹 서버 : ‘디렉토리 검색’ 항목이 체크 - Apache 웹 서버 : ‘httpd.conf 파일’에서 ‘Indexes’옵션이 on 되어 있는 경우에 인터넷 사용자에게 모든 디렉토리 및 파일 목록이 보여지게 되고, 파일의 열람 및 저장도 가능하게 되어 비공개 자료가 유출 |
| 파일 다운로드 취약점 | 게시판 등에 저장된 자료에 대해 ‘다운로드 스크립트’를 이용하여 다운로드 기능을 제공하면서, 대상 자료파일의 위치 지정에 제한조건을 부여하지 않았을 경우에 URL칸의 다운로드 스크립트의 인수 값에 ‘../’문자열 등을 입력하여 시스템 디렉토리 등에 있는 /etc/passwd와 같은 비공개 자료들이 유출 |
| 크로스사이트 스크립트 취약점 |
게시판에 새 게시물을 작성하여 등록할 때와 같이 사용자의 입력을 받아 처리하는 웹 응용프로그램에서 입력 내용에 대해 실행코드인 스크립트의 태그를 적절히 필터링하지 않을 경우에 악의적인 스크립트가 포함된 게시물을 등록할 수 있어 해당 게시물을 열람하는 일반 사용자의 pc로 부터 개인정보인 쿠키를 유출할 수 있는 등의 피해를 초래 |
| 파일 업로드 취약점 | 첨부파일 업로드를 허용하는 홈페이지 게시판에서 .php, .jsp등의 확장자 이름의 스크립트 파일의 업로드를 허용할 경우에 해커가 악성 실행 프로그램을 업로드한 후에 홈페이지 접속방식으로 원격에서 서버컴퓨터의 시스템 운영 명령어를 실행 |
| WebDAV 취약점- 원격 실행 |
윈도우 서버 컴퓨터에서 기본으로 설치되는 원격관리기능인 WebDAV가 계속 사용 가능하도록 설정되어 있고, WebDAV 라이브러리 파일의 속성 및 홈페이지 디렉토리에 쓰기 권한이 모두 허용되어 있는 경우에 해커가 WevDAV도구를 사용, 원격에서 홈페이지 디렉토리에 임으로 파일을 삽입하여 화면을 변조 |
| 테크노트(Technote) 취약점 |
테크노트’의 일부 CGI프로그램들에서 인수 값 처리시에 ‘ㅣ’문자 이후에 나오는 컴퓨터 운영 명령어가 실행될 수 있는 결함이 있어 해커는 홈페이지접속 방식으로 컴퓨터 명령어를 실행하여 화면을 변조하거나 컴퓨터를 조작 |
| 제로보드(Zeroboard) 취약점 |
제로보드’의 일부 php프로그램이 원격에 있는 php파일을 실행할 수 있는 결함이 있어 해커는 홈페이지 접속 방식으로 컴퓨터 명령어를 실행하여 화면을 변조하거나 컴퓨터를 조작 |
| SQL Injection 취약점 | 웹 브라우저 주소 창 또는 사용자 ID 및 패스워드 입력화면에서 데이터베이스 SQL문에 사용되는 문자기호(‘ 및”)의 입력을 적절히 필터링 하지 않은 경우에 해커가 SQL 문으로 해석될 수 있도록 조작한 입력으로 데이터베이스를 인증 절차 없이 접근, 자료를 무단 유출하거나 변조 |