지난 시간에 Shodan을 활용한 검색 결과의 예시들을 보여드렸습니다. 이제 쇼단 주제는 끝내고 그 다음 주제인 웹 취약점으로 넘어가도록 하겠습니다.
과제 발표에 사용한 PPT 파일을 첨부합니다. 만약 지금 제가 거치고 있는 AI 스쿨 교육과정이 더 궁금하시다면 다음 링크를 통해 자세한 정보를 확인해 주세요.
https://cafe.naver.com/itscholar
정보보안전문가 취업카페 스칼라 : 네이버 카페
비전공자 전문IT교육, 정보보안전문가, 보안을 아는 개발자, AI 양성교육, IT기술리더, 창업가 양성
cafe.naver.com
본문
웹 취약점이란, 웹 시스템에서 존재하는 해킹에 취약한 지점을 의미합니다. 보안 담당자는 웹 시스템을 지속적으로 점검하고 진단하여 웹 취약점을 발견하고 보완해야 합니다. 만약 이 웹 취약점을 방치할 경우 보안사고가 높은 확률로 발생하게 됩니다.
웹 취약점의 종류와 발생 원인은 다양합니다. 위의 이미지처럼 비밀번호 관리의 미비이거나, 방화벽 정책 업데이트의 미비, 패치 관리 실패 등등의 문제가 존재합니다.
보안 전문가가 웹 취약점을 점검하는 과정은 다음 그림과 같이 나타낼 수 있습니다.
웹 취약점의 종류
웹 취약점의 종류는 아주 많습니다. 하지만 자주 다루게 되는 웹 취약점은 어느 정도 정해져 있습니다. 이를 알아보기 위하여 한국 행정안전부에서 배포하는 웹 취약점 표준 점검 항목을 참고하여 실무에서 자주 다루는 웹 취약점 위주로 소개하도록 하겠습니다.
관리자 페이지 노출 취약점
- 관리자 페이지의 URL을 유추하기 여려운 것으로 변경하기
- 특정 IP에서만 관리자 페이지의 접근을 가능하게 하기
- IP제한을 할 수 없는 경우 OTP 등의 2차 인증 시스템을 마련하기
디렉토리 나열 취약점
웹서버 내부에 있는 특정 디렉토리의 모든 파일들이 웹에 노출되는 경우를 의미합니다. 이렇게 웹서버의 디렉토리가 노출될경우 이 디렉토리 안에 있는 모든 파일을 열람하고 다운로드 할 수 있습니다. 이로 인하여 서버 내부에 존재하는 중요한 파일이 외부로 노출될 가능성이 있습니다.
디렉토리 나열 취약점을 해결하기 위하여 다음과 같은 수단을 고려할 수 있습니다.
- 디렉토리가 웹에 노출되지 않도록 index of 등의 유추하기 쉬운 문자열 사용하지 않기
- 디렉토리 나열 기능을 비활성화 하고 서버 재부팅
시스템 관리 취약점
아파치 등의 서버를 설치할 때, 설치중 생성된 임시파일이 삭제되지 않고 잔류하게 될 경우 발생하는 취약점입니다. 이 임시파일들이 노출될 경우 임시파일의 정보를 이용하여 서버의 버전 등 정보를 얻어내고 이를 활용하여 공격 계획을 세우는 등의 문제가 발생할 수 있습니다.
시스템 관리 취약점은 다음과 같은 해결 방안을 고려할 수 있습니다.
- 웹 서버 설치시 발생하는 임시 파일 삭제하기
- 정기적으로 파일을 검사하여 불필요한 파일이 있다면 삭제
- 정기적으로 웹 서버의 설정을 점검하기
불필요한 메소드 허용 취약점
웹 서비스에서 PUT, DELECT등의 메소드를 허용할 경우 공격자가 이를 악용하여 서버 내부에 있는 파일을 삭제하거나 악성 파일을 업로드 하는 등의 파일 조작을 가할 수 있습니다. 이는 서버 프로그램의 기본 값으로 해당 기능이 활성화 되어 있는 경우가 많아 자주 일어나는 사고 입니다. 불필요한 모든 메소드를 비활성화 하는 것으로 극복할 수 있습니다.
'AI 스쿨 리팩토링 보안직무 과정' 카테고리의 다른 글
| 32주차 과제 - 웹 취약점 (3) (0) | 2023.10.24 |
|---|---|
| 31주차 과제 - 웹 취약점 (2) (0) | 2023.10.24 |
| 29주차 과제 - 침해대응 & CERT 과정 (6) (0) | 2023.10.19 |
| 28주차 과제 - 침해대응 & CERT 과정 (5) (1) | 2023.10.17 |
| 27주차 과제 - 침해대응 & CERT 과정 (4) (1) | 2023.10.16 |
댓글