요약 - 취약점 점검은 갈수록 중요해지는 중
- 자동화 기술을 통한 취약점 점검뿐만 아니라 수동 취약점 점검 또한 중요
내용 - 취약점 점검은 시스템의 약점을 찾는 것을 기본으로 함
> 보이지 않는 위협으로부터 시스템과 디지털 공간을 안전하게 보호하는 것도 포함

- 수동 취약점 평가
① 인증 및 권한 테스트
> 인증 테스트는 승인된 사용자만이 시스템에 접속할 수 있는지, 혹은 그렇지 않은 사람들도 접속 가능한지를 확인
> 권한 테스트는 접속한 사용자에게 적절한 권한이 부여되는지를 검증
> 권고: 여러 문자를 섞어 적당히 긴 비밀번호, 다중 인증, 중앙 관리 시스템, 최소 권한의 원칙, 접근 기록 정기적 검토

② 비밀번호 관리
> 사용자가 비밀번호를 저장하고 관리하는 최적의 접근 방식을 따르도록 하는 지침들을 마련해 전파하는 것까지를 포함
> 정상적인 권한을 가지고 있지 않은 사람이 시스템과 네트워크에 접근하는 것을 막는 것을 목표로 함
> 권고: 로그인 시도 횟수 제한

③ 세션 관리
> 세션 쿠키 재사용을 통해 정상 사용자의 권한을 그대로 가지고 접속할 수 있음
> 권고: 강력하고 고유한 세션 식별자 설정, HttpOnly 또는 Secure 플래그를 설정, 세션 타임 아웃

④ SQL 주입
> 웹 애플리케이션에서 가장 흔히 나타나면서도 대단히 위험한 취약점
> 권고:매개변수화 된 쿼리 사용, 입력 값 제한 및 검증 강화, DB 접근 권한 최소한 사용자에게 부여

⑤ 교차 사이트 스크립팅(XSS)
> 권고: 입력 값 제한 및 검증 강화, 매개변수화 된 URL과 코드 사용, 콘텐츠 보안 정책(CSP) 헤더를 구축, 인라인 자바스크립트 지양

⑥ URL 조작
> URL 조작 테스트는 웹 애플리케이션이 URL 조작 공격에 얼마나 노출되어 있는지를 파악하는 것
> 무단 접근, 데이터 유출, 그 외 여러 보안 문제를 사전에 막기 위해 실시
> 여러 가지 유형의 테스트가 존재
⒜ 경로 탐색(path traversal) : URL 경로를 다른 것으로 바꿈으로써 다른 디렉토리에 접근
⒝ 매개변수 변조(parameter tampering) : URL의 매개변수를 수정하여 애플리케이션이 비정상적으로 작동하게 함
⒞ 디렉토리 목록화(directory enumeration) : 숨겨진 디렉토리를 찾는 데 도움이 됨
⒟ 불안전 디렉토리 객체 참조(IDOR) : URL에서 식별자를 조작하여 접근이 허용되지 않은 자원에 접근
⒠ 강제 브라우징(forceful browsing) : URL을 직접 입력함으로써 피해자의 브라우저가 악성 페이지에 접근하도록 함
⒡ URL 우회 접속 : URL 매개변수나 URL 그 자체를 조작하여 다른 곳으로 접속하게 유도
⒢ URL 매개변수를 통한 SQL 주입 : 말 그대로 URL 매개변수에 SQL 명령을 삽입
⒣ XSS : URL 매개변수에 SQL 주입 명령을 삽입
⒤ 세션 ID 조작 : URL에 포함되어 있는 세션 ID를 조작하여 세션 탈취 공격을 진행
⒥ 파일 업로드 테스트 : 파일 업로드 매개변수를 조작하여 업로드를 제한하거나 악성 파일을 업로드

- 수동 취약점 점검을 통해 반드시 찾고 고쳐야 하는 것: 사용자 입렵값을 처리하는 기능
> 다음으로 중요한 것: 최소 권한의 법칙
기타 - 코드를 세밀하게 검토하고, 입력 값을 검증하고, 인증 메커니즘을 철저히 분석할 때 수동으로 테스트를 진행하는 게 중요
> 자동 기술로 하면 놓칠 만한 것들을 찾아낼 수 있게 됨

 

보안뉴스

 

자동화 기술이 넘쳐나는 시대에 뜻밖의 제안, 수동 취약점 점검

취약점 점검이라는 보안의 기본 실천 사항은 갈수록 중요해지고 있다. 취약점이 많아지고 있기도 하고, 그 취약점을 통해 침투하는 것을 공격자들이 점점 더 능숙하게 구사하기 때문이기도 하

www.boannews.com

 

+ Recent posts