새로운 소식

(주)아이시큐어에서 2019년 진행한 프로젝트에서 모의해킹(Web, Mobile)을 진행하면서 발견된 취약점을 정리했습니다. ```chart "Percent" "운영체제 명령 실행" 2% "파일 업로드" 2% "불충분한 인증" 2% "관리자 페이지 노출" 2% "불필요한 메소드 허용" 2% "불충분한 인가" 3% "쿠키 변조" 3% "약한 문자열 강도" 5% "불충분한 세션 만료" 6% "위치 공개" 6% "SQL 인젝션" 10% "프로세스 검증 누락" 10% "데이터 평문 전송" 14% "정보 누출" 16% "크로스 사이트 스크립팅" 19% type: column title: 웹서비스 취약점 x.title: 이름 y.title: % y.min: 1 y.max: 20 y.suffix: % ``` * **크로스 사이트 스크립팅**은 애플리케이션이 부적절한 입력 값을 검증하지 않고 받아들일 때 발생되는 취약점으로 대응 방안으로는 1. 공격 패턴 수집 후 사용자가 입력 가능한 모든 곳에 검증 로직 추가 2. HttpOnly 플래그 활성화 3. X-XSS-Protection 헤더 활성화 가 있습니다. * **정보 누출**은 웹 사이트의 현황을 파악하려고 다양한 에러를 유발하여 시스템 정보, 메소드 정보, 추론 정보 등이 노출되는 취약점으로 대응 방안으로는 1. 웹 서버 버전 정보 제공 금지 2. 에러 발생 시 별도의 에러 페이지로 이동 3. 히든 필드에 중요 정보 저장 금지 4. 로그인 실패 메시지 제한 5. 불필요한 메소드 금지 가 있습니다. * **데이터 평문 전송**은 중요 정보 전송 구간에 암호화 통신을 하지 않아 입력한 계정 정보가 평문으로 노출되는 취약점으로 대응 방안으로는 1. 중요 정보 전송 구간에 SSL/TLS 적용 2. HSTS 헤더 적용 3. 요청 데이터 암호화 가 있습니다. ```chart "Percent" "입력 값 및 예외 처리" 3% "비밀번호 구현" 3% "역분석 방지 미흡" 3% "중요정보 저장" 9% "암호화 구현" 9% "송수신 정보 보호 미흡" 9% 백업 13% "OS 변조 탐지 미흡" 13% "메모리 노출" 16% "프로그램 무결성 검증 미흡" 22% type: column title: 모바일 취약점 x.title: 이름 y.title: % y.min: 1 y.max: 25 y.suffix: % ``` * **프로그램 무결성 검증 미흡**은 어플리케이션의 비정상적인 작동을 유도하기 위해 바이너리 파일을 변조 후 실행이 가능한 취약점으로 대응 방안으로는 1. 난독화 솔루션 적용 2. 해시 기반 위변조 탐지 기능 적용 이 있습니다. * **메모리 노출**은 메모리 상에 사용자가 입력한 계정 정보, 대칭키 정보, 민감한 정보가 평문으로 노출되는 취약점으로 대응 방안으로는 1. 중요 정보를 하나의 문자만 읽어들이도록 설정 2. 캐싱 기능 비활성화 가 있습니다. * **OS 변조 탐지 미흡**은OS 변조된 단말기에서 모바일 앱 이용 시 어플리케이션에서 허가되지 않는 영역까지 접근이 가능한 취약점으로 최초 실행, 중요 정보 전송, 중요 거래 등에 탐지 및 종료 코드 추가를 통해 방지할 수 있습니다. <br> * **백업**은 모바일 앱 개발이 완료 후 백업 속성을 비활성화하지 않아 제 3자에 의해 백업 및 추출이 가능한 취약점으로 백업 속성 비활성화를 통해 방지할 수 있습니다.