2019년 모의해킹 취약점 현황
발행일: 2020년 1월 9일 8:25 오후
(주)아이시큐어에서 2019년 진행한 프로젝트에서 모의해킹(Web, Mobile)을 진행하면서 발견된 취약점을 정리했습니다.
```chart
"Percent"
"운영체제 명령 실행" 2%
"파일 업로드" 2%
"불충분한 인증" 2%
"관리자 페이지 노출" 2%
"불필요한 메소드 허용" 2%
"불충분한 인가" 3%
"쿠키 변조" 3%
"약한 문자열 강도" 5%
"불충분한 세션 만료" 6%
"위치 공개" 6%
"SQL 인젝션" 10%
"프로세스 검증 누락" 10%
"데이터 평문 전송" 14%
"정보 누출" 16%
"크로스 사이트 스크립팅" 19%
type: column
title: 웹서비스 취약점
x.title: 이름
y.title: %
y.min: 1
y.max: 20
y.suffix: %
```
* **크로스 사이트 스크립팅**은 애플리케이션이 부적절한 입력 값을 검증하지 않고 받아들일 때 발생되는 취약점으로 대응 방안으로는
1. 공격 패턴 수집 후 사용자가 입력 가능한 모든 곳에 검증 로직 추가
2. HttpOnly 플래그 활성화
3. X-XSS-Protection 헤더 활성화
가 있습니다.
* **정보 누출**은 웹 사이트의 현황을 파악하려고 다양한 에러를 유발하여 시스템 정보, 메소드 정보, 추론 정보 등이 노출되는 취약점으로 대응 방안으로는
1. 웹 서버 버전 정보 제공 금지
2. 에러 발생 시 별도의 에러 페이지로 이동
3. 히든 필드에 중요 정보 저장 금지
4. 로그인 실패 메시지 제한
5. 불필요한 메소드 금지
가 있습니다.
* **데이터 평문 전송**은 중요 정보 전송 구간에 암호화 통신을 하지 않아 입력한 계정 정보가 평문으로 노출되는 취약점으로 대응 방안으로는
1. 중요 정보 전송 구간에 SSL/TLS 적용
2. HSTS 헤더 적용
3. 요청 데이터 암호화
가 있습니다.
```chart
"Percent"
"입력 값 및 예외 처리" 3%
"비밀번호 구현" 3%
"역분석 방지 미흡" 3%
"중요정보 저장" 9%
"암호화 구현" 9%
"송수신 정보 보호 미흡" 9%
백업 13%
"OS 변조 탐지 미흡" 13%
"메모리 노출" 16%
"프로그램 무결성 검증 미흡" 22%
type: column
title: 모바일 취약점
x.title: 이름
y.title: %
y.min: 1
y.max: 25
y.suffix: %
```
* **프로그램 무결성 검증 미흡**은 어플리케이션의 비정상적인 작동을 유도하기 위해 바이너리 파일을 변조 후 실행이 가능한 취약점으로 대응 방안으로는
1. 난독화 솔루션 적용
2. 해시 기반 위변조 탐지 기능 적용
이 있습니다.
* **메모리 노출**은 메모리 상에 사용자가 입력한 계정 정보, 대칭키 정보, 민감한 정보가 평문으로 노출되는 취약점으로 대응 방안으로는
1. 중요 정보를 하나의 문자만 읽어들이도록 설정
2. 캐싱 기능 비활성화
가 있습니다.
* **OS 변조 탐지 미흡**은OS 변조된 단말기에서 모바일 앱 이용 시 어플리케이션에서 허가되지 않는 영역까지 접근이 가능한 취약점으로 최초 실행, 중요 정보 전송, 중요 거래 등에 탐지 및 종료 코드 추가를 통해 방지할 수 있습니다.
<br>
* **백업**은 모바일 앱 개발이 완료 후 백업 속성을 비활성화하지 않아 제 3자에 의해 백업 및 추출이 가능한 취약점으로 백업 속성 비활성화를 통해 방지할 수 있습니다.