지난시간에 이어 주요 웹 취약점의 종류에 대하여 더 알아보도록 하겠습니다.
과제 발표에 사용한 PPT 파일을 첨부합니다. 만약 지금 제가 거치고 있는 AI 스쿨 교육과정이 더 궁금하시다면 다음 링크를 통해 자세한 정보를 확인해 주세요.
https://cafe.naver.com/itscholar
정보보안전문가 취업카페 스칼라 : 네이버 카페
비전공자 전문IT교육, 정보보안전문가, 보안을 아는 개발자, AI 양성교육, IT기술리더, 창업가 양성
cafe.naver.com
본문
이번 과제 발표에서 알아볼 웹 취약점은 파일 다운로드 취약점, 파일 업로드 취약점, 소스코드 내 중요정보 취약점, 공개용 웹 게시판 취약점입니다. 해당 취약점 리스트는 행정안전부에서 배포하는 웹 취약점 표준 점검 항목을 참고하여 작성되었습니다.
파일 다운로드 취약점
파일 다운로드 취약점이란, 웹 페이지를 조작하여 관리자의 의도를 벗어나는 디렉토리에서 파일을 확인하고 다운로드 할 수 있는 취약점입니다. 이 취약점을 방치할 경우 서버 내부에 존재하는 중요한 파일이 노출될 가능성이 존재합니다.
파일 다운로드 취약점은 다음과 같은 방법으로 극복할 수 있습니다.
- 허용된 경로 이외의 모든 접근 차단
- 파일 경로를 바꿀 수 있는 문자열 필터링
파일 업로드 취약점
파일 업로드 취약점이란, 웹 사이트에 악성 파일을 업로드하고 실행시켜 웹 시스템을 장악할 수도 있는 취약점을 말합니다. 이 취약점의 경우 주로 웹 사이트에 존재하는 확장자 필터링 기능이 미흡하다면 주로 발생합니다. 공격자는 주로 CMD 명령을 수행할 수 있는 php 파일을 공격에 사용합니다.
파일 업로드 취약점은 다음과 같은 방법으로 보완할 수 있습니다.
- 파일 확장자 필터링 기능을 사용. 화이트 리스트로 특정 유형의 파일만을 허락하는 것이 권장된다.
- 실행권한을 제거하여 악성 스크립트가 실행될 수 없도록 한다.
- 서버 환경을 분리하기
소스 코드 내 중요 정보 노출 취약점
소스 코드 내 중요 정보 노출 취약점이란, 개발 과정에서 편의를 위하여 소스 코드에 남겨둔 중요한 정보를 마무리 과정에서 제거하지 않아 외부로 노출되는 취약점을 말합니다. 이 경우 주로 IP나 관리자 계정 정보 등이 노출되어 커다란 사고로 이어질 수 있습니다.
소스 코드 내 중요 정보 노출 취약점을 막기 위해서는 개발 완료 시점에서 소스 코드와 주석을 철저히 조사하여 중요한 정보를 반드시 제거해야 합니다.
공개용 웹 개시판 취약점
공개용 웹 게시판은 인터넷 사용자들이 쉽게 게시판을 만들어 관리할 수 있도록 만든 프로그램입니다. 대표적인 공개용 웹 게시판은 그누보드, 제로보드, XpressEngine 등이 존재합니다.
이 프로그램들은 보통 프리웨어라 널리 사용되고 있지만, 취약점 역시 널리 알려져 있기 때문에 공개용 웹 게시판을 사용하여 서버를 운영하는 것이 공격에 취약하다고 평가 받습니다.
그렇기에 이 취약점을 극복하기 위해서는 공개용 웹 게시판 사용을 지양해야 합니다. 하지만 공개용 웹 게시판을 사용해야만 하는 상황이 존재할 수 있습니다. 그 경우는 반드시 보안 패치가 적용된 최신 버전을 사용해야 합니다.
'AI 스쿨 리팩토링 보안직무 과정' 카테고리의 다른 글
| 34주차 과제 - 웹 취약점 (4) (0) | 2023.10.27 |
|---|---|
| 33주차 과제 - 웹 쉘 (0) | 2023.10.26 |
| 31주차 과제 - 웹 취약점 (2) (0) | 2023.10.24 |
| 30주차 과제 - 웹 취약점 (1) (0) | 2023.10.20 |
| 29주차 과제 - 침해대응 & CERT 과정 (6) (0) | 2023.10.19 |
댓글