취약점 유형 (OWASP, 국정원, SANS)

취약점 유형

대상 : 주요 정보시스템(서버, 네트워크, 정보보호시스템, WEB, DBMS, 기타 정보자산)

취약점 유형 : OWASP Top10, 국정원 8대 취약점, SANS Top25

1. OWASP Top 10 

- https://www.owasp.org/

- 국제 웹 보안 표준기구로 정기적으로 웹 해킹 위협의 동향을 발표

- OWASP : The Open Web Application Security Project 

1.XSS

2.Injection Flaws

3.악성 파일 실행

4.불안전한 직접 객체 참조

5.Cross-Site Request Forgery

6.정보유출 및 부적절한 오류

7.취약한 인증 및 세션 관리

8.불안전한 암호화 저장

9.불안전한 통신

10.URL 접속 제한 실패

2. 국정원 8대 취약점

1. 디렉토리 리스팅 취약점

  ○ 홈페이지의 속성을 설정하는‘웹사이트 등록정보’에 특정디렉토리에 대하여 ‘디렉토리 검색’

      항목이 체크되어 있거나(IIS 웹서버), ‘httpd.conf 파일’에서‘Indexes’옵션이 ON되어 있는 경우

     (아파치 웹서버)에 

  ○ 인터넷 사용자에게 모든 디렉토리 및 파일 목록이 보여지게 되고, 파일의 열람 및 저장도 가능하

     게 되어 비공개 자료가 유출될 수 있다.

2. 파일 다운로드 취약점- OWASP 와 중복

   ○ 게시판 등에 저장된 자료에 대해‘다운로드 스크립트’를 이용하여 다운로드 기능을 제공하면서,

       대상 자료파일의 위치 지정에 제한조건을 부여하지 않았을 경우에

   ○ URL칸의 다운로드 스크립트의 인수값에‘../’문자열 등을 입력하여 시스템 디렉토리 등에 있

       는 /etc/passwd와 같은 비공개 자료들이 유출될 수 있다.

   ○ 특히, 리눅스 및 유닉스 계열의 웹서버에 각별한 주의가 필요하다.

3. 크로스 사이트 스크립트 취약점 - OWASP 와 중복

   ○ 게시판에 새 게시물을 작성하여 등록할 때와 같이 사용자의 입력을 받아 처리하는 웹 응용프로

       그램에서 입력 내용에 대해 실행코드인 스크립트의 태그를 적절히 필터링하지 않을 경우에

   ○ 악의적인 스크립트가 포함된 게시물을 등록할 수 있어 해당 게시물을 열람하는 일반 사용자의

       PC로부터 개인정보인 쿠키를 유출할 수 있는 등의 피해를 초래할 수 있다.

4. 파일 업로드 취약점 - OWASP 와 중복

   ○ 첨부파일 업로드를 허용하는 홈페이지 게시판에서 .php, .jsp 등의 확장자 이름의 스크립트 파일

       의 업로드를 허용할 경우에

   ○ 해커가 악성 실행 프로그램을 업로드한 후에 홈페이지 접속 방식으로 원격에서 서버컴퓨터의

       시스템 운영 명령어를 실행시킬 수 있다.

5. WebDAV 취약점 - 원격 실행

   ○ 윈도우 서버 컴퓨터에서 기본으로 설치되는 원격관리기능인 WebDAV가 계속 사용가능하도록

       설정되어 있고, WebDAV 라이브러리 파일의 속성 및 홈페이지 디렉토리에 쓰기 권한이 모두

       허용되어 있는 경우에

   ○ 해커가 WebDAV 도구를 사용, 원격에서 홈페이지 디렉토리에 임의의 파일을 삽입하여 화면을

       변조할 수 있다.

6. 테크노트(Tech note)취약점

   ○ 국내에서 개발되어 무료 배포중인 게시판 제작 프로그램‘테크노트’의 일부 CGI프로그램들에서

       인수값 처리시에‘|’문자 이후에 나오는 컴퓨터 운영 명령어가 실행될 수 있는 결함이 있어

   ○ 해커는 홈페이지 접속 방식으로 컴퓨터 명령어를 실행하여 화면을 변조하거나 컴퓨터를 조작할

       수 있다.

   ○ ‘테크노트’는 리눅스 및 유닉스 계열의 홈페이지 서버 컴퓨터에 주로 사용되고, 윈도우 계열의

      홈페이지에서도‘Perl’이 지원될 경우에 사용될 수 있다.

7. 제로보드(ZeroBoard)취약점

   ○ 국내에서 개발되어 무료 배포중인 게시판 제작 프로그램‘제로보드’의 일부 PHP프로그램이 원격

      에 있는 PHP파일을 실행할 수 있는 결함이 있어

   ○ 해커는 홈페이지 접속 방식으로 컴퓨터 명령어를 실행하여 화면을 변조하거나 컴퓨터를 조작할

       수 있다.

   ○ ‘제로보드’는 리눅스 및 유닉스 계열의 홈페이지 서버 컴퓨터에 주로 사용되고, 윈도우 계열의

      홈페이지에서도‘PHP’가 지원될 경우에 사용될 수 있다.

8. SQL injectin 취약점 - OWASP와 중복

   ○ 웹브라우저 주소(URL)창 또는 사용자 ID 및 패스워드 입력화면 등에서 데이터베이스 SQL문에

      사용되는 문자기호(‘ 및“)의 입력을 적절히 필터링 하지 않은 경우에

   ○ 해커가 SQL문으로 해석될 수 있도록 조작한 입력으로 데이터베이스를 인증절차없이 접근, 자료

       를 무단 유출하거나 변조할 수 있다.

3. SANS Top 25

- http://cwe.mitre.org/top25/

- SANS와 미국 및 유럽의 여러 소프트웨어 보안 전문가 등에 의해 CW3/SANS TOP 25라는 이름으로 소프트웨어 개발자가 가장 범하기 쉽고 위험한 25가지 SW 취약점 목록을 유형별로 분리해 놓은 것

- CWE (Common Weakness Enumeration) : 근본적, 원인측면의 보안 약점을 의미하며 SW의 소스적 특징에 의한 취약점이므로 갯수가 한계가 있으며 CWE + '고유번호'로 나타낸다

- CVE (Common Vulnerabilities and Exposure) : 원인에 기반한 결과, 현상적 측면의 보안 취약점을 의미 CVE + '발견된 년도' + '고유번호'로 나타낸다

4. 웹 응용프로그램 개발 보안 가이드 2010

o 국가정보원의 「홈페이지 보안관리 매뉴얼.」에 명시된 홈페이지 8대 취약점과

한국인터넷진흥원의 「홈페이지 개발 보안가이드」의 10대 취약점, OWASP에서

발표한 「10대 가장 심각한 웹 어플리케이션 보안 취약점」에 명시된 10가

지 취약점 등 28가지 취약점을 정부통합전산센터의 환경을 고려하여, 웹 어플리

케이션 개발 시 고려해야 할 12가지 점검항목으로 재분류.

5. KISA 홈페이지 취약점 진단 제거 가이드

- http://kisa.or.kr

- 웹 사이트 관리자 또는 보안담당자가 직접 따라 할 수 있도록 쉽게 작성된 가이드

6. 행자부 SW개발보안 보안취약점

- http://www.mospa.go.kr/

- 공공, 행정기관 시스템 개발시 적용해야하는 SW개발보안 보안약점 기준 47개

7. 행자부 주요정보통신기반시설 기술적 취약점 분석 평가 방법(웹)

- http://www.mospa.go.kr/

- 주요정보통신기반시설 평가 기준 중 웹 취약점 부분

무선취약점 : MAC Spoofing Aps, WEB Key Crack, Denial of Service Attack, 비인가 Wi-Fi 네트워크 접속, Client MAC도용, Honeypots MAC 도용, Ad-hoc 1:1 통신

---

출처 - http://parkgrounds.tistory.com/44

출처 - http://blog.naver.com/pocas4356/150135732920