자동화 기술이 넘쳐나는 시대에 뜻밖의 제안, 수동 취약점 점검

요약	- 취약점 점검은 갈수록 중요해지는 중 - 자동화 기술을 통한 취약점 점검뿐만 아니라 수동 취약점 점검 또한 중요
내용	- 취약점 점검은 시스템의 약점을 찾는 것을 기본으로 함 > 보이지 않는 위협으로부터 시스템과 디지털 공간을 안전하게 보호하는 것도 포함 - 수동 취약점 평가 ① 인증 및 권한 테스트 > 인증 테스트는 승인된 사용자만이 시스템에 접속할 수 있는지, 혹은 그렇지 않은 사람들도 접속 가능한지를 확인 > 권한 테스트는 접속한 사용자에게 적절한 권한이 부여되는지를 검증 > 권고: 여러 문자를 섞어 적당히 긴 비밀번호, 다중 인증, 중앙 관리 시스템, 최소 권한의 원칙, 접근 기록 정기적 검토 ② 비밀번호 관리 > 사용자가 비밀번호를 저장하고 관리하는 최적의 접근 방식을 따르도록 하는 지침들을 마련해 전파하는 것까지를 포함 > 정상적인 권한을 가지고 있지 않은 사람이 시스템과 네트워크에 접근하는 것을 막는 것을 목표로 함 > 권고: 로그인 시도 횟수 제한 ③ 세션 관리 > 세션 쿠키 재사용을 통해 정상 사용자의 권한을 그대로 가지고 접속할 수 있음 > 권고: 강력하고 고유한 세션 식별자 설정, HttpOnly 또는 Secure 플래그를 설정, 세션 타임 아웃 ④ SQL 주입 > 웹 애플리케이션에서 가장 흔히 나타나면서도 대단히 위험한 취약점 > 권고:매개변수화 된 쿼리 사용, 입력 값 제한 및 검증 강화, DB 접근 권한 최소한 사용자에게 부여 ⑤ 교차 사이트 스크립팅(XSS) > 권고: 입력 값 제한 및 검증 강화, 매개변수화 된 URL과 코드 사용, 콘텐츠 보안 정책(CSP) 헤더를 구축, 인라인 자바스크립트 지양 ⑥ URL 조작 > URL 조작 테스트는 웹 애플리케이션이 URL 조작 공격에 얼마나 노출되어 있는지를 파악하는 것 > 무단 접근, 데이터 유출, 그 외 여러 보안 문제를 사전에 막기 위해 실시 > 여러 가지 유형의 테스트가 존재 ⒜ 경로 탐색(path traversal) : URL 경로를 다른 것으로 바꿈으로써 다른 디렉토리에 접근 ⒝ 매개변수 변조(parameter tampering) : URL의 매개변수를 수정하여 애플리케이션이 비정상적으로 작동하게 함 ⒞ 디렉토리 목록화(directory enumeration) : 숨겨진 디렉토리를 찾는 데 도움이 됨 ⒟ 불안전 디렉토리 객체 참조(IDOR) : URL에서 식별자를 조작하여 접근이 허용되지 않은 자원에 접근 ⒠ 강제 브라우징(forceful browsing) : URL을 직접 입력함으로써 피해자의 브라우저가 악성 페이지에 접근하도록 함 ⒡ URL 우회 접속 : URL 매개변수나 URL 그 자체를 조작하여 다른 곳으로 접속하게 유도 ⒢ URL 매개변수를 통한 SQL 주입 : 말 그대로 URL 매개변수에 SQL 명령을 삽입 ⒣ XSS : URL 매개변수에 SQL 주입 명령을 삽입 ⒤ 세션 ID 조작 : URL에 포함되어 있는 세션 ID를 조작하여 세션 탈취 공격을 진행 ⒥ 파일 업로드 테스트 : 파일 업로드 매개변수를 조작하여 업로드를 제한하거나 악성 파일을 업로드 - 수동 취약점 점검을 통해 반드시 찾고 고쳐야 하는 것: 사용자 입렵값을 처리하는 기능 > 다음으로 중요한 것: 최소 권한의 법칙
기타	- 코드를 세밀하게 검토하고, 입력 값을 검증하고, 인증 메커니즘을 철저히 분석할 때 수동으로 테스트를 진행하는 게 중요 > 자동 기술로 하면 놓칠 만한 것들을 찾아낼 수 있게 됨

 

보안뉴스

자동화 기술이 넘쳐나는 시대에 뜻밖의 제안, 수동 취약점 점검