Security

URL 접근 제한 미흡 취약점이란?인증 혹은 인가되지 않은 사용자가 접근 제한된 페이지에 접근하게 되는 취약점이다.인증 혹은 인가된 사용자가 접근 가능한 페이지에 대해 접근 제한이 존재하지 않거나 존재하지만 우회 포인트가 존재하여 발생한다. 💡 인증과 인가인증이란 로그인과 같이 인증된 사용자인지의 여부를 파악하는 것을 말하고, 인가란 특정 사용자가 해당 작업에 대한 권한의 존재 여부를 파악하는 것을 말한다. 공격 원리 분석파리미터 변조 취약점과 동일하게 공격 유무를 파악하기가 어렵다.공격자는 페이지의 URL을 유추해아 한다.이때 사전 대입을 통한 수동적 유추 방식과 자동화 도구를 통한 유추 방식이 있다. 보통 네이밍 패턴이나 robot.txt를 통해 유추하게 된다. 대응 방안접근 제한이 필요한 부분에 ..

파라미터 변조 취약점이란?사용자 입력값인 파라미터를 변조하여 악의적인 행위를 하는 공격이다. 공격 원리 분석정상적인 동작 예시사용자 입력값인 id 파라미터를 통해 id 값에 해당하는 회원 정보를 반환한다. 공격동작 예시공격자는 사전 대입으로 id 파라미터 변조를 통해 사용자 정보를 반환받는다. 서버사이드에서는 공격 유무를 파악하기 어렵다. 따라서 어플리케이션 단에서 세션을 통해 검증해야 한다. 또한 사용자 입력값을 통해 사용자 아이디를 받아오기 보다는 세션을 통해 사용자 아이디를 받아와야 한다. 대응 방안1. 사용자 입력 값에 대한 검증사용자의 입력 값을 반드시 받아서 처리해야 하는 경우에는 사용자의 세션과 파라미터로 입력받은 사용자를 비교한다. 2. 세션을 통한 처리회원 정보 수정이나 마이페이지 조회의..

파일 업로드 취약점이란?파일 업로드 기능에 대해서 발생하는 취약점으로, 공격자는 비정상 파일을 서버에 업로드한다.정상 파일과 비정상 파일은 서버 사이드 스크립트로 작성된 웹쉘 코드이냐 아니냐로 구분된다.  악성 스크립트가 웹 서버에 업로드 된다면 업로드한 파일을 통해 시스템 명령어를 실행할 수 있게 되어 OS Injection과 동일한 효과를 발생시킬 수 있는 취약점이다. 하지만 OS Injection과 다르게 웹 서비스에서 파일 업로드 기능은 필수 기능이므로, 취약점이 발생할 확률이 매우 높다. 공격 원리 분석사용자로부터 파일명을 입력받는다.기존의 경로와 입력받은 파일명을 조합한다.서버에 파일을 업로드하기 위해 파일 출력이 수행된다.업로드된 악성 스크립트를 통해 웹쉘에 접근하게 된다. 웹쉘이란 무엇인가..

파일 다운로드 취약점이란?서버에 있는 파일에 다운로드하는 기능에 대해서 비정상적인 파일을 다운로드 받는 취약점이다.공격 대상은 바로 파일 다운로드 기능이다.정상적인 파일과 비정상적인 파일은 지정된 경로냐 지정된 경로가 아니냐에 따라 구분된다. 정상적인 파일은 지정된 경로에 있는 파일을 다운로드한다. 여기서 공격자는 경로 이동 문자를 삽입하여 경로를 변조하여 공격을 수행하고, 사용자에게 지정된 경로를 벗어난 비정상적인 파일을 다운로드하게 한다. 공격 원리 분석서버는 사용자로부터 파일 경로를 입력받는다. 이때 공격자는 경로 이동 문자가 삽입된 비정상적인 경로를 입력하여 서버에서 중요한 파일을 다운로드 시도한다. → ../../etc/passwd사용자 입력 값과 기존 경로가 조합된다. → /wetroot/up..

CSRF란?Cross-Site Request Forgery의 약어로, 공격자에 의해 사용자가 의도하지 않은 요청을 수행하는 공격이다. 사용자 정보 수정, 패스워드 변경, 회원 탈퇴, 게시글 작성/수정/삭제 등의 행위가 가능하다. 공격 원리 분석예시 1) 서버 1개공격자가 악성 스크립트를 게시글에 작성해 둔다.인증된 사용자가 해당 게시글을 읽으면 악성 스크립트에 의해 패스워드 변경 요청이 자동으로 발생한다. 이때 스크립트는 Client-Side Script로 구성되어 있다. 따라서 클라이언트가 웹 서비스에 패스워드 변경 요청을 하게 된다. 예시 2) 서버 2개공격자는 사용자에게 A라는 사이트의 회원 탈퇴를 요청하는 악성 스크립트를 게시글에 작성해 둔다.인증된 사용자가 해당 게시글을 읽으면 악성 스크립트에 ..

ISMS 관리과정(5단계)정보보호 정책 수립 및 범위설정경영진 책임 및 조직 구성위험 관리정보보호대책 구현사후관리 1단계: 정보보호정책 수립정보보호정책 수립조직의 정보보호 목표와 방향성을 명확하게 하는 정보보호 정책을 수립한다.조직 및 책임의 설정이때 조직 규모와 정보자산에 맞는 적절한 인원수 및 예산을 배정한다.관리자와 담당자를 지정하여 정보보호 정책의 승인, 자원 할당, 정보보호 조직의 구성 및 운영에 대한 책임을 갖게 한다. 또한 정보보호를 담당할 전담 조직이나 팀을 구성하고, 각종 권한과 책임을 명시한다. 2단계: 정보보호 관리체계 범위 설정범위 설정의무 대상자는 범위 내 서비스 제공에 필요한 모든 시스템을 포함한다.정보자산의 식별범위 내 모든 자산을 식별하고 문서화한다.정보자산의 식별은 현재 보..

ISMS 인증 준비ISMS 인증 심사 절차법적 근거: 정보통신망법 제 47조(정보보호관리체계의 인증) 관련 규정정보통신망법 (제47조)정보통신망법 시행령 (제47조 ~ 제54조)정보보호 관리체계 인증 등에 관한 고시 (미래부 제2013-36호) 기업 자율 신청기업이 정보보호 관리체계를 구축·운영하고 인증 취득을 희망할 경우, 자율적인 신청을 통한 인증심사 가능 ISMS 인증 의무대상자 (정보통신망법 제47조 제2항)기업 스스로 의무대상 여부를 판단하여 ISMS를 구축하고 인증을 취득하는 것이 원칙이다.정보통신서비스제공자란 쉽게 말해 인터넷을 통해 돈을 버는 모든 사업자를 일컫는다.VIDC(Virtual Internet Data Center)매출액이라는 점을 주의해야 한다. 즉 기업의 순매출액을 의미한다...

1. 기업 정보보호 환경 변화ICT 환경 변화에 따라 기업 정보보호 수준 제고를 위한 제도 정비의 필요성이 대두되었다. 이에 따라 다음 세 가지를 제·개정하며 환경변화에 대응한다.여기서 환경 변화란 ICT 환경의 변화를 의미하며, 대표적으로 모바일 기기 업무 사용, 클라우스 서비스 활성화, APT·DDos 등 공격기법 지능화 및 다양화, 컴플라이언스 강화(개인정보보호 등 법률 강화)가 있다. 1. ISMS 인증 제도ICT 환경 변화 및 안전진단 대상자에 대한 ISMS 인증 의무화에 따라 ISMS 기준을 명확화, 현실화한다.이를 통해 다음 4가지의 이점이 발생한다.경영진 참여 및 책임 강화ISMS 인증은 경영진의 적극적인 참여와 정보보호에 대한 책임을 요구한다. 이를 통해 조직 전체의 정보보호 의식이 향상..