취약점 점검 보고서 - prof.ysu.ac.kr·¨약점분석보고서.pdf · •id를 적는 입력...

영산대학교 사이버경찰학과 취약점 분석 보고서

Copyright ⓒ 2013 YSU 사이버경찰학과. All Right Reserved. 1

취약점 점검 보고서

(Vulnerability Assessment Report)

2013-12-19

김현경 / [email protected] 양현진 / [email protected] 정윤필 / [email protected] 추혜숙 / [email protected]



목 차 1. 개요 1.1. 취약점 분석 추진 배경 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 03 1.2. 취약점 분석의 필요성 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 03

2. 웹 취약점 2.1. 웹 취약점 개요 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 04 2.2. 웹 취약점 유형 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 04 2.3. 웹 취약점 공격 기법 원리 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 05

3. 취약점 분석 3.1. 공격 테스트 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 07

4. 로그 분석 4.1. 로그 분석 개요 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 10 4.2. 로그 분석의 필요성 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 10 4.3. 로그 분석 방법 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 11

5. 대응 방안 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 14

6. 결 론 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 16

7. 참고 자료 7.1. 참고 문헌 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 17 7.2. 참고 웹 사이트 ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 17



1.1. 취약점 분석 추진 배경 금융사기, 소액결제, 개인정보유출 등의 피해는 대부분 웹 사이트를 통해 일어난다. 따라서 웹 사이

트의 보안은 사회적으로도 가장 중요한 문제로 대두되고 있다. 과거에는 웹 사이트가 단순한 정적인 페이지로만 되어있었다면, 지금은 사용자에게 값을 입력받아 서버에서 처리하고 다시 사용자에게 보여주는 동적인 페이지가 대부분이다. 이러한 동적 웹 사이트는 정적 사이트에는 없는 다양한 공격 패턴이 존재한다. 공격이 일어나기 전 웹 사이트를 보호하여야 개인정보유출 등의 피해를 최소화 할 수 있기 때문에 웹 사이트를 오픈하기 전 취약점 점검은 반드시 이루어져야한다.

따라서 본 보고서에서는 웹 사이트 구축 후 몇 가지의 웹 공격을 수행한다. 만일 공격이 성공적으로 이루어진다면 해당 웹 사이트는 공격에 대한 취약점을 가진 것으로 판단한다. 그리고 이러한 취약점을 가진 웹 사이트가 어떤 방식으로 악용될 수 있는지 등에 대해 분석 보고서를 작성하였다.

1.2. 취약점 분석의 필요성 앞서 언급하였듯이 요즘 웹 사이트들은 과거의 단순한 정적인 페이지에서 벗어나 사용자에게 값을

입력받아 서버에서 처리 후 다시 사용자에게 보여주는 동적인 페이지들로 구성되어있다. 동적 웹 사이트는 정적 웹 사이트와 웹 공격 Cross Site Script(XSS) 웹 공격에 대해 취약하다.

최근에는 Windows 기반 웹 사이트를 대상으로 SQL Injection 취약점을 공격하는 해킹 도구를 통해 데이터베이스 내에 악성코드를 대량으로 삽입하는 사례가 빈번히 발생하고 있다. 웹 페이지가 데이터베이스로 사용자 입력을 보낼 때면 언제든지 이 공격을 적용할 수 있으며 SQL Injection 공격은 URL이나 폼 필드 또는 동적으로 생성되는 일부 SQL 질의에 SQL 명령을 삽입함으로서 수행된다. 이는 대부분의 웹 페이지가 정보나 로직을 저장하기 위한 저장소로서 데이터베이스를 이용하기 때문에 데이터베이스 내의 정보를 파악할 수 있는 것이다.

만일, 웹 페이지에 대한 취약점 점검이 이루어지지 않은 상태에서 외부인의 접근을 허용하게 된다면, 데이터베이스에 저장되는 모든 데이터들은 해커에 의해 손쉽게 유출될 것이다. 따라서 웹 페이지를 정식으로 오픈하기 전 웹 공격에 대한 취약점 평가는 반드시 이루어져야 하며, 해당 공격을 막을 수 있는 방안을 마련해야 한다. 잘 알려진 웹 공격에 대해서는 웹 페이지 소스코드를 보완하는 것으로도 공격에 대비할 수 있다. 이를 Secure Coding 이라 한다.

1. 개요



이름 발생 가능한 피해

SQL Injection• 데이터베이스에 저장된 데이터 변조, 삭제, 생성• 악성코드 유포지로 활용• 서버 권한 획득 및 내부망 침입• 웹 사이트 방문자의 PC에 악성코드 유포

HTTP 500 Error • 공격 가능 정보 획득 가능 • Internal Server Error 유발로 장애 발생 가능

XSS (Cross Site Scripting)

• 세션 하이재킹• 리다이렉션 공격 (2차공격)• 사이트 피싱에 활용 가능• 관리자 권한 및 사용자 권한 유출 • 사용자 정보 유출 가능 (쿠키 정보 등)

CSRF(Cross Site Request Forgery)

File Upload • Web Shell Upload 공격 가능• 웹 사이트 방문자의 PC Control • 악성코드 유포, 좀비 PC로 활용 가능

2.1. 웹 취약점 개요 웹 사이트 상에서 웹 공격을 수행하였을 때 성공적으로 공격이 이루어진다면 해당 웹 사이트는 웹

취약점이 있다고 판단한다. 대표적인 웹 공격에는 Cross Site Scripting(XSS), SQL Injection, CSRF 등이 있다. 아래의 그림은 취약점

2.2. 웹 취약점 유형 웹 취약점 유형 분류는 국정원 국가사이버안전센터 홈페이지 보안관리 8대 취약점, OWASP Top

10(가장 심각한 웹 애플리케이션 보안취약점 10가지)에서 다루어지는 주요 웹 취약점을 기준으로 실제 웹 취약점 공격을 수행하고, 진단할 공격을 정리한 것이다.

[표 1] 웹 공격의 분류

2. 웹 취약점



가) 웹 취약점 요약 ■ XSS 공격 •웹 애플리케이션이 어떤 사용자로부터 악의적인 데이터를 수집할 때 발생하는 취약점 •공격자는 사용자들에게 데이터를 수집하기 위해 JavaScript, VBScript, ActiveX, HTML 또는

Flash를 적용. 계정 하이재킹으로부터 공격자는 사용자의 설정을 변경하거나 쿠키 탈취 가능 ■ SQL Injection 공격 •SQL Injection은 Windows 기반의 IIS 7.5에서 발생하는 취약점 •비정상적인 SQL Query를 이용해 데이터베이스의 테이블, 필드 등 획득 가능 •데이터베이스에 저장된 데이터를 임의로 열람, 삽입, 수정, 삭제 가능 •데이터베이스의 시스템 명령을 이용하여 시스템 조작 가능 •DBMS와 연동된 웹 페이지 상에 해당 취약점 존재 ■ File Upload 공격 •파일을 업로드 가능한 게시판이 존재하는 웹 페이지 상에 해당 취약점 존재 •.asp, .jsp, .php 등의 확장자를 가지는 파일 업로드하고 해당 파일이 업로드 되는 서버의 위치

파악 후 서버 원격 조종 가능 •업로드 한 파일을 다운로드하는 사용자의 PC를 원격으로 조종 가능 •원본 웹 페이지 수정 가능 (원본 파일 덮어쓰기, 파일 생성 등)

2.3. 웹 취약점 공격 기법 원리 가. XSS 공격

[그림 1] XSS 공격 기법 원리

•동적인 페이지를 제공하는 웹 사이트는 사용자의 입력을 받는 페이지와 이것을 처리하여 사용자에게 보여주는 동적인 페이지, 2가지 페이지를 제공하는데 사용자의 입력을 받아들여 처리할 때 사용자가 어떤 값을 입력하는지 확인하지 않아 발생하는 공격기법이다.

•악의적인 사용자(Client)가 정상적인 입력이 아닌 악성 스크립트 코드를 웹 페이지에 입력하면 악성 스크립트 코드가 서버로 전송되어 데이터베이스에 저장되며 다른 일반사용자가 해당 게시글을 클릭했을 때 서버에서는 악성스크립트 코드를 실행하여 요청한 사용자의 브라우저로 보여주게 되는 원리이다.



나. SQL Injection 공격

[그림 2] SQL Injection 공격 기법 원리

•일반적으로 이루어지는 SQL Injection 공격 기법의 원리는 사용자(Client)가 웹 페이지 상에서 악의적인 SQL 구문을 입력을 한다. 해당 구문은 데이터베이스의 데이터와 확인을 하는 작업을 거치게 된다. 웹 페이지에서 보안작업을 거치지 않는다면, 악의적 SQL 구문이 검증되지 않았음에도 불구하고 데이터베이스에서 SQL 구문을 성공적으로 실행하게 되고 해당 결과를 요청한 사용자의 웹 페이지에 보여주게 된다.

•SQL 삽입에서는 SQL 명령과 연결되어 실행되는 사용자 입력 변수에 코드를 직접 삽입한다. 간접적인 공격에서는 테이블에 저장할 문자열에 또는 메타데이터로 악의적인 코드를 주입하고 저장된 문자열이 동적 SQL 명령에 연결되고 악성 코드가 실행되도록 한다.

•삽입 프로세스는 텍스트 문자열을 미리 종료하고 새 명령을 덧붙이는 방법으로 수행된다. 삽입된 명령에는 실행 전에 덧붙여진 추가 문자열이 있을 수 있으므로 공격자는 주입된 문자열을 주석 표시인 "-- 또는 ##" 등 데이터베이스 종류에 맞는 주석표식으로 종료한다.

다. Web Shell Upload 공격

[그림 3] Web Shell Upload 공격 기법 원리

•Web Shell 이란 원격지의 공격자가 웹 서버에 명령을 수행할 수 있도록 악의적으로 작성한 웹 스크립트(asp, cgi, php, jsp 등) 파일을 말한다.

•공격자(Client)가 파일을 업로드 할 수 있는 게시판에 악의적 목적의 스크립트 파일을 업로드 하면 웹 서버에 해당 파일이 저장되게 된다. 웹 서버가 첨부된 파일의 확장자명을 체크하지 않고 서버에 파일을 저장하였기 때문에 발생하는 취약점이며 실행권한을 제한하지 않을 경우, 서버의 시스템 파일까지도 노출될 가능성이 존재한다.



3.1. 공격 테스트 가. XSS 공격 1) 공격 가능 여부 테스트 •게시판의 내용 부분에 <script>alert("test")</script> 라고 입력 후 글 등록

•글 등록 후 해당 게시글을 클릭하였을 때 아래 그림과 같은 화면이 뜬다면, 해당 웹 사이트는 XSS 공격에 대해 취약점을 지닌다고 판단

2) 사용자 쿠키 값 탈취 •파라미터로 받은 쿠키 값 저장하는 파일 작성

3. 취약점 분석



•글 수정을 통해 cookie 값이 생성될 수 있도록 스크립트 구문 변경

•웹 페이지에 로그인한 사용자 쿠키 값 획득 성공

나. SQL Injection 공격 1) 공격 가능 여부 테스트 •로그인 폼에서 홑따옴표(‘)를 사용하여 구문에러 발생

•아래와 같은 오류메시지가 뜬다면, 해당 웹 페이지는 SQL Injection 공격에 대해 취약점을 가진다고 판단 (오류메시지에서 DB종류, 버전, 테이블명, 사용자명 등의 정보 획득 가능)



2) 데이터베이스의 가장 첫 번째 레코드에 저장된 ID로 로그인 •ID를 적는 입력 폼에는 test 등의 임의의 ID를 작성하고 패스워드 입력 폼에 'or '1'='1

이라는 구문을 입력하면, ID가 무엇이든 1=1 이라는 True 값을 획득할 수 있기 때문에 테이블에 첫 번째로 저장된 ID 값으로 로그인 된다.

다. Web Shell Upload 공격 1) 공격 가능 여부 테스트 •파일을 업로드 할 수 있는 게시판에 .asp / .jsp / .html / .php 등의 확장자명을 지니는

파일을 업로드 해본다. 만약 파일이 성공적으로 업로드 된다면 해당 웹 페이지는 Web Shell Upload 공격에 대해 취약점을 지닌다고 판단



4.1. 로그 분석 개요 웹 서버는 로그라는 정보를 남길 수 있도록 되어있다. 이는 웹 사이트에 누군가가 접근 하였을때

접근 시간, 접근 IP, 접근 포트, 방문한 URL 등의 정보를 log 라는 파일형식으로 기록해놓는 것이다. 웹 사이트에 대한 로그정보를 우리는 웹 로그라고 말한다. 아래의 그림은 웹 로그가 기록되는 과정을 간략하게 보여주는 그림이다.

[그림 4] 웹 로그 기록 과정

우리가 웹 서버로 흔히 사용하는 서버로는 Tomcat, IIS, Apache, Linux 등이 있다. 각각의 서버는 자신만의 로그 기록 방식이 존재하며, Default로 제공하는 로그 기록 정보도 각각 다르다. 만일, 자신이 서버 관리자를 희망한다면 각각의 서버가 어떤 로그 포맷을 지원하는지, Default 셋팅이 무엇인지 정도는 알고 있어야 할 것이다.

4.2. 로그 분석의 필요성 웹 로그 분석은 웹 페이지에서 일어나는 모든 일을 기록하는 파일이다. 따라서 웹 로그 파일 기록

을 살펴보면, SQL Injection, XSS, File Upload 등의 다양한 웹 공격에 대한 단서를 찾을 수 있다. 만약, 위의 공격이 발생한다면 가장 먼저 웹 로그 기록을 누군가가 지울 수 없도록 보존하여야 할

것이다. 그리고 해당 웹 로그의 기록을 툴을 이용해서 분석해야 할 것이다. 웹 로그를 분석하는 것만으로도 공격이 일어난 시점에 대해 정확히 파악 가능하기 때문이다.

4. 로그 분석



4.3. 로그 분석 방법 앞서 로그의 생성과정과 로그 분석의 중요성에 대해 언급하였다. 그렇다면 로그 분석은 어떻게 하는

것일까? 지금부터 IIS 7.5 서버를 대상으로 로그를 어떻게 분석할 수 있는지 살펴보도록 한다. 가. IIS Defaul 기록 로그 정보 확인 •[시작] → [제어판] → [관리도구] → [IIS 인터넷 정보 서비스 관리자] → 구동중인 사이트 선택

→ [로깅] → [필드 확인]



나. IIS 로그 저장 위치 확인 •[로컬 디스크(C:)] → [inetpub] (iis 설치경로) → [logs] → [LogFiles] → [W3SVC(숫자)]

※ 로그 정보는 u_ex(yymmdd).log 의 이름으로 자동 저장된다.

다. LogPaser를 이용한 Sample 로그 분석 •LogPaser 설치 확인 : cmd 창에서 ‘logparser‘ 명령어로 확인



•LogPaser 사용법 : logparser "select 필드명 from 로그파일경로 to 결과물 저장경로 where 필드명 like '%찾을

내용%'" -i:입력파일형식 -o:출력파일형식

※ 5922개의 로그 중 4개의 로그 검색 완료, 검색하는데 걸린 시간 0.11초

•-o 옵션은 출력파일형식을 말하는데, 위의 그림에서 csv 라는 형식으로 저장되게 되어있다. 이는 무엇을 의미하는 것 일까? csv 출력파일형식은 일정한 규칙대로 나열되어 있는 데이터파일의 경우 Tab 또는 Spacebar를 기준으로 셀을 구분하여 저장하는 형식의 파일이다. 일종의 엑셀 파일이라고 보아도 무방하다. csv 형식으로 출력할 경우, 엑셀로도 해당 파일의 데이터를 볼 수 있기 때문에 엑셀에서 사용하는 정렬, 필터링 룰 적용 등이 가능하다. 따라서 로그분석을 할 때에는 로그 결과를 csv 형식으로 출력하여 엑셀로 데이터를 보기 좋게 정렬하여 보는 것이 효율적이라 할 수 있다.

•logparser를 잘 다루기 위해서는 데이터베이스의 쿼리 구문을 이해하여햐 한다. 위의 그림에서 보듯이 logparser 다음의 "select ~ like '%ddd%'" 부분은 데이터베이스 쿼리 구문이다. 쿼리 구문을 잘 아는 서버관리자는 logparser를 효율적으로 사용할 수 있지만 쿼리 구문을 잘 모르는 서버관리자는 수많은 로그기록 중에서 단시간에 원하는 로그기록을 빠르게 찾기 힘들 것이다. 따라서 서버관리자는 자주 쓰이는 logparser 구문은 외워두는 것이 좋다.



가. XSS 공격 대응 방안

5. 대응방안



나. SQL Injection 공격 대응 방안 •ID, 패스워드, 검색 필드에 홑따옴표(‘), 세미콜론(;) 등을 입력한 후 DB 에러가 일어나지 않는지

확인

•사용자 입력 값 검증 - 입력 폼과 URL의 입력 값을 검증하여 특수 문자가 포함되어 있는지 여부 확인 후 필터링 •에러 메시지 처리 - 에러 메시지를 사용자에게 보여주지 않도록 설정 •사용자 권한 제한 - sysadmin 접근 권한을 제한 (데이터베이스 제어권 사수)

다. Web Shell Upload 공격 대응 방안 •파일업로드 시 파일이름에 확장자명이 들어가는 것을 올리지 못하도록 방지

•파일 업로드 서버를 물리적으로 분리



OWASP Top 10에서 Top 1,2로 선정될 만큼 최근 Windows 웹 서버를 대상으로 발생되고 있는 해킹은 대부분 XSS 공격과 SQL Injection 공격이 원인이다. 이런 공격은 고급 기술을 요구하지 않고 간단한 자바스크립트와 SQL Query 구문에 대한 지식만으로도 누구든지 공격이 가능하므로, 해당 공격을 통해 2차, 3차 공격이 이루어진다면 더 큰 피해가 일어날 수 있다.

근본적인 원인은 웹 사이트가 이러한 공격에 취약하게 개발되어 운영되기 때문에 근본적인 해결 방안은 웹 시스템 구축 이후 문제점을 수정하기 보다는 설계, 개발 단계에서 보안을 고려하여 개발되는 것이 바람직하다.

개인뿐만이 아니라 기업체에서도 엄청난 피해가 일어날 수 있기 때문에 개발자는 웹 사이트를 개발할 때 보안에 대해 신중하게 생각해 볼 필요가 있다.

6. 결론



7.1. 참고 문헌 •보안 입문 - 웹 해킹과 침해사고 분석 (비팬북스)

7.2. 참고 웹 사이트 •https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project •http://www.hackerschool.org/HS_Boards/data/Lib_web/css.pdf •http://hanbitbook.co.kr/web/sample/1331/sample_chap5.pdf •http://blog.naver.com/siw2008 •http://codeengn.com •http://c1004mj.blogspot.kr/2011/03/xsscross-site-scripting.html •http://www.acunetix.com/vulnerability-scanner/download/ •http://blog.naver.com/PostView.nhn

7. 참고 자료

취약점 점검 보고서 - prof.ysu.ac.kr·¨약점분석보고서.pdf · •id를 적는 입력...

Documents