Home > Àüü±â»ç

¸ð´ø À¥ ȯ°æ¿¡¼­ÀÇ ´ëÇ¥ÀûÀÎ Ãë¾àÁ¡ TOP 7

ÀÔ·Â : 2022-07-01 15:02
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
½ºÆ¿¸®¾ð, ¡®Á¦1ȸ Stealien Security Seminar¡¯¿¡¼­ ¸ð´ø À¥ ȯ°æ ´ëÇ¥ Ãë¾àÁ¡ °ø°³
Path Traversal Ãë¾àÁ¡, SSRF Ãë¾àÁ¡, Django ÇÁ·¹ÀÓ¿öÅ© µî 7°¡Áö Ãë¾àÁ¡ ¹ßÇ¥
°³¹ßÀÚµéÀÇ ºÎÁÖÀÇ·Î Ãë¾àÁ¡ ¹ß»ý, ÇÁ·¹ÀÓ¿öÅ© ȯ°æ º¯È­¿¡ ¸ÂÃç ¸ð´ø À¥ º¸¾Èµµ º¯È­Çؾß


[º¸¾È´º½º ±âȹÃëÀçÆÀ] »çÀ̹öº¸¾È Àü¹®±â¾÷ ½ºÆ¿¸®¾ðÀÌ 6¿ù 29ÀÏ °³ÃÖÇÑ »çÀ̹öº¸¾È ¼¼¹Ì³ª ¡®Stealien Security Seminar¡¯¿¡¼­ ¡®¸ð´ø À¥¡¯ ȯ°æ¿¡¼­ ¹ß»ýÇÏ´Â ´ëÇ¥ Ãë¾àÁ¡À» °ø°³Çß´Ù. ¸ð´ø À¥¡¯Àº NodeJS, Django¿Í °°ÀÌ ÃÖ±Ù ¿µÇâ·Â ÀÖ´Â À¥ ÇÁ·¹ÀÓ¿öÅ©·Î Á¦ÀÛµÈ ¼­ºñ½º¸¦ ÀǹÌÇϴµ¥, ÀÌ·¯ÇÑ È¯°æ¿¡¼­ °³¹ßÀÚµéÀÇ »ç¼ÒÇÑ ºÎÁÖÀÇ·Î ´Ù¾çÇÑ º¸¾È Ãë¾àÁ¡µéÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. À̹ø¿¡ °ø°³µÈ ´ëÇ¥ Ãë¾àÁ¡Àº 7°¡Áö·Î ´ÙÀ½°ú °°´Ù.

[À̹ÌÁö=utoimage]


1. Path Traversal Ãë¾àÁ¡
Path Traversal Ãë¾àÁ¡Àº ÆÄÀÏÀ» ¿Å±â´Â °úÁ¤¿¡¼­ ¿Å±â°íÀÚ ÇÏ´Â ÆÄÀÏ À̸§¿¡ ´ëÇÑ °ËÁõÀÌ ¾ø±â ¶§¹®¿¡ ¹ß»ýÇÏ´Â Ãë¾àÁ¡ÀÌ´Ù. ÀÌ·² °æ¿ì path ¸ðµâÀÇ base name functionÀ» ÀÌ¿ëÇÏ´Â °ÍÀ¸·Î Ãë¾àÁ¡À» ÇØ°áÇÏ¸é µÈ´Ù. ¶Ç´Â ../¸¦ ¾Æ¿¹ ¸·°Å³ª ¾ð¾î ÀÚü¿¡ ³»ÀåµÈ base name ÇÔ¼ö¸¦ ÀÌ¿ëÇÏ´Â °ÍÀÌ °¡Àå ½¬¿î ¹æ¹ý Áß Çϳª´Ù. ±×¸®°í ÆÄÀÏÀ» ´Ù·ç´Â ±â´É¿¡¼­´Â »ç¿ëÀÚ°¡ ÀÔ·ÂÇÒ ¼ö ÀÖ´Â ÀÔ·Â °ªÀÇ ÁýÇÕÀÌ ¾î¶»°Ô µÇ´ÂÁö Ç×»ó ¿°µÎ¿¡ µÎ°í Äڵ带 ÀÛ¼ºÇÏ´Â ³ë·ÂÀÌ ÇÊ¿äÇÏ´Ù.

2. SSRF Ãë¾àÁ¡
SSRF Ãë¾àÁ¡Àº ¸¹ÀÌ ³ª¿À´Â Ãë¾àÁ¡µé Áß Çϳª·Î, À̹ÌÁö¸¦ ¸®»çÀÌÁîÇÏ´Â ±â´ÉÀ» ÇÏ´Â ¿£µåÆ÷ÀÎÆ®¿¡¼­ axios ¸ðµâ·Î get ÇÔ¼ö¸¦ È£ÃâÇÒ ¶§ URL¿¡ ´ëÇÑ ¹Ì°ËÁõÀ¸·Î ¹ß»ýÇÏ´Â Ãë¾àÁ¡ÀÌ´Ù. file ½ºÅ´À» ÅëÇØ ·ÎÄà ÆÄÀÏ°ú ·ÎÄà ³×Æ®¿öÅ©¿¡ Á¢±ÙÇϰųª ÀÓÀÇÀÇ TCP ÆÐŶÀ» »ý¼ºÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ, HTTP ÇÁ·ÎÅäÄÝÀ» ÅëÇØ ¿ìȸÇÒ ¼ö ÀÖ´Ù.

µû¶ó¼­ ÀÔ·ÂµÈ URL¿¡ http://, https:// ½ºÅ´À» »ç¿ëÇß´ÂÁö È®ÀÎÇϰųª, È­ÀÌÆ®¸®½ºÆ®·Î È®ÀÎÇØ¾ß ÇÑ´Ù. ¶ÇÇÑ, µµ¸ÞÀÎ °Ë»ç¸¦ IP·Î µÈ URL·Î ¹Þ´Â´Ù¸é, IP¸¦ long Çü½ÄÀ¸·Î º¯È¯ÇÏ´Â ¶óÀ̺귯¸®¸¦ ÀÌ¿ëÇØ long Çü½ÄÀ¸·Î ¹Ù²Û µÚ, ´Ù½Ã IP·Î º¯È¯Çؼ­ °Ë»çÇÏ´Â ¹æ¹ýÀ» »ç¿ëÇØ¾ß ÇÑ´Ù. ÀÌ ¿Ü¿¡µµ SSRF Ãë¾àÁ¡ÀÌ Æ®¸®°Å µÇ´Â ±â´É Áß¿¡´Â ¡âSVG ÆÄÀÏÀ» PNG·Î º¯È¯ÇÏ´Â ±â´É ¡âhtml ÆÄÀÏÀ» PDF³ª À̹ÌÁö·Î ·»´õ¸µÇÏ´Â ±â´É ¡â½ºÇÁ·¹µå½ÃÆ® Çü½ÄÀÇ ÆÄÀÏÀ» ¹Þ¾Æ ÀͽºÆ÷Æ®ÇÏ´Â ±â´ÉµéÀÌ ÀÖ´Ù.

¡ãSSRF Ãë¾àÁ¡ È­¸é[À̹ÌÁö=½ºÆ¿¸®¾ð Á¦°ø]


3. Àå°í(Django) ÇÁ·¹ÀÓ¿öÅ©, ÀÚü ±â´É¿¡¼­ ¹ß°ßÇÒ ¼ö ÀÖ´Â ¹ö±×
Àå°í´Â ÆÄÀ̽ã(Python) ±â¹Ý À¥ ÇÁ·¹ÀÓ¿öÅ© Áß Flask¿Í ´õºÒ¾î °¡Àå À¯¸íÇÑ À¥ ÇÁ·¹ÀÓ¿öÅ©´Ù. Admin ±â´ÉÀÌ ³»ÀåµÇ¾î ÀÖ´Â °Ô Ư¡À̸ç, DEBUG ¸ðµå°¡ ¼³Á¤µÅ ÀÖ´Ù. ÆÄÀÏ ¾÷·Îµå °æ·Î¿¡ ÀÖ´Â Apache2 À¥ ¼­¹ö ÇÁ·Î±×·¥ÀÇ ¼³Á¤ ¹Ì½º¿Í ¿ÀǼҽº·Î °ø°³µÈ DjangoÀÇ Third-Party ¾îÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ ·ÎÁöÄà °ø°ÝÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Ù.

DjangoÀÇ DEBUG ¸ðµå°¡ È°¼ºÈ­µÇ¾î ÀÖÀ» ¶§ ¼öÁýÇÒ ¼ö ÀÖ´Â Á¤º¸´Â ¼­¹öÀÇ ¼¼Æà °ªÀ¸·Î ³Ñ°ÜÁØ µ¥ÀÌÅͺ£À̽º Á¢¼Ó Á¤º¸³ª Çã¿ëµÈ CSRF ORIGIN Á¤º¸µéÀ» È®ÀÎÇÒ ¼ö ÀÖ´Â °ÍÀ» º¼ ¼ö ÀÖ´Ù. ÀÌ ¿Ü¿¡µµ ¼­¹öÀÇ È¯°æº¯¼öµéÀ» Ãâ·ÂÇØ Àå°í ¼­¹öÀÇ Àý´ë °æ·Î¸¦ ¾Ë ¼ö ÀÖ´Ù.

4. ÀÚ¹Ù½ºÅ©¸³Æ® Express ¿£Áø
Express ¿£ÁøÀº NodeJS ȯ°æ¿¡¼­ µ¶º¸ÀûÀ¸·Î °¡Àå ³Î¸® »ç¿ëµÇ´Â À¥ ÇÁ·¹ÀÓ¿öÅ©´Ù. Prototype PollutionÀº ÀÚ¹Ù½ºÅ©¸³Æ®¿¡¼­ °´Ã¼ÁöÇâÀ» ±¸ÇöÇÑ ¹æ½ÄÀÌ prototype chainÀ» ÀÌ¿ëÇßÀ» ¶§ ¹ß»ýÇÏ´Â ¹ö±×·Î, º¯¼ö¸¦ Á¶ÀÛÇÒ ¼ö ÀÖ´Ù. ÇØ´ç Ãë¾àÁ¡À» ¹æ¾îÇϱâ À§Çؼ­´Â Å°°ªÀ» °Ë»çÇÏ´Â ÇÔ¼ö¸¦ ±¸ÇöÇÏ´Â µî È®ÀÎÇÏ´Â ·ÎÁ÷À» Ãß°¡ÇØ¾ß ÇÑ´Ù.

5. SQL Injection Ãë¾àÁ¡
´ÙÀ½À¸·Î SQL Injection Ãë¾àÁ¡Àº MySQL µå¶óÀ̹ö Áß °¡Àå ³Î¸® »ç¿ëµÇ´Â µå¶óÀ̹ö¿¡¼­ ¹ß°ßµÇ¸ç, LogicalÇÑ ¹ö±×¸¦ À¯µµÇØ Control Flow¸¦ Á¶ÀÛÇÒ ¼ö ÀÖ´Ù. »ç¿ëÀÚ°¡ ÀÔ·ÂÇÑ user name°ú password¸¦ ¹Þ¾Æ SQL QueryÀÇ ÆĶó¹ÌÅÍ·Î ½ÇÇàÇÏ°í »ç¿ëÀÚ¸¦ Ãâ·ÂÇϴµ¥, À̶§ °èÁ¤Á¤º¸°¡ ³ëÃâµÉ ¼ö ÀÖ´Ù.

µû¶ó¼­ ÀÚ¹Ù½ºÅ©¸³Æ®¿¡¼­´Â »ç¿ëÇÒ µ¥ÀÌÅÍ¿¡ ´ëÇÑ ÀÚ·áÇüÀ» Á¤È®È÷ ¸í½ÃÇÏ°í °Ë»çÇØ »ç¿ëÇØ¾ß ÇÑ´Ù. ÀÌ Á¡¿¡¼­´Â ŸÀÔ½ºÅ©¸³Æ®°¡ ÀÚ¹Ù½ºÅ©¸³Æ®º¸´Ù À¯¿ëÇÏ´Ù. º¸ÅëÀÇ À¥ ¼­ºñ½º¸¦ °ø°ÝÇÒ ¶§´Â ¼­ºñ½º°¡ »ç¿ëÇÏ´Â ¶óÀ̺귯¸®ÀÇ 1-day Ãë¾àÁ¡À» »ç¿ëÇϰųª ¾÷·ÎµåµÈ ÆÄÀÏÀÇ ÆÄ½Ì ¿¡·¯ °°Àº ¹ö±×¸¦ ¿¬°èÇؼ­ »ç¿ëÇØ °ø°ÝÇÏ´Â °æ¿ì°¡ ¸¹´Ù. ÀÌ¿¡ °³¹ßÀÚ´Â º¸¾È Ãë¾àÁ¡ÀÌ ³ª¿ÔÀ» ¶§ À¥ ¼­ºñ½ºÀÇ Æ¯¼º¿¡ ¸Â°Ô ºü¸£°Ô Á¶Ä¡ÇØ¾ß ÇÑ´Ù.

6. CKEditor Ãë¾àÁ¡
Frontend ½ºÅÿ¡¼­´Â CKEditor Ãë¾àÁ¡ÀÌ °¡Àå ¸¹ÀÌ ¹ß°ßµÈ´Ù. ¿ÀǼҽº À¥ ¿¡µðÅÍ CKEditorÀÇ Ãë¾àÁ¡Àº XSS Ãë¾àÁ¡À¸·Î ÀÚ¹Ù½ºÅ©¸³Æ® ÄÚµå ½ÇÇàÀ¸·Î ¾Ç¼ºÇàÀ§¸¦ ½ÇÇàÇÒ ¼ö ÀÖ´Ù. µû¶ó¼­ HTML Æ÷¸Ë¿¡ ¸Â°Ô ÆĽÌÇÑ µÚ XSS Ãë¾àÁ¡À» ÀÏÀ¸Å³ ¼ö ÀÖ´Â Å°¿öµå¸¦ »èÁ¦ÇØ¾ß ÇÑ´Ù. ƯÈ÷, sanitizingÇÑ °á°ú¸¦ ±×´ë·Î Ãâ·ÂÇϸé À¥ ¿¡µðÅÍÀÇ ±â´ÉÀ» Á¦ÇѾøÀÌ »ç¿ë °¡´ÉÇÏ´Ù.

7. Credential Leak
Frontend ½ºÅÿ¡¼­ µÎ ¹ø°·Î ¸¹ÀÌ ³ª¿À´Â Ãë¾àÁ¡Àº Credential Leak·Î, Credential Á¤º¸°¡ ¼Ò½ºÄڵ忡 ³ëÃâµÈ °æ¿ì°¡ Á¾Á¾ ¹ß°ßµÈ´Ù. º¸ÅëÀº Test °èÁ¤ À¯ÃâÀÌ °¡Àå ºó¹øÇÏ°í °¡²û¾¿ Cloud CredentialÀÌ ³ëÃâµÇ¾î ÀÖ´Â °æ¿ìµµ ÀÖ´Ù. ÀÌ ¹ö±×¸¦ ¹æÁöÇϱâ À§Çؼ­´Â ¹èÆ÷ Àü Credential °°Àº ¹Î°¨ÇÑ Á¤º¸µéÀÌ ³ëÃâµÇ¾î ÀÖ´ÂÁö È®ÀÎÇÏ´Â ÀÛ¾÷ÀÌ ÇÊ¿äÇÏ´Ù.

¸ð´ø À¥¿¡¼­´Â ÄíÅ°¿¡ ¼¼¼Ç °ªÀ» ÀúÀåÇϱ⺸´Ü JWT ÅäÅ« °ªÀ» ÀÌ¿ëÇÏ´Â °æ¿ì°¡ ¸¹´Ù. ÅäÅ«À» »ç¿ëÇÒ ¶§ JWT TokenÀ» ÄíÅ°¿¡ ÀúÀåÇÏ´Â °æ¿ìµµ ÀÖ°í, ºê¶ó¿ìÀúÀÇ ·ÎÄà ½ºÅ丮Áö¿¡ ÀúÀåÇÏ´Â °æ¿ìµµ ÀÖ´Ù.

ÄíÅ°´Â º¸¾È Ãë¾àÁ¡¿¡ ´ëÀÀÇϱâ À§ÇØ http only °°Àº Çʵ带 ¸¸µé¾î javascript¿¡¼­ ÄíÅ° °ª¿¡ Á¢±ÙÇÏÁö ¸øÇϵµ·Ï ¸¸µé ¼ö ÀÖ´Ù. ÇÏÁö¸¸ ·ÎÄà ½ºÅ丮Áö´Â ±×·± ¼³Á¤ÀÌ ¾ø¾î¼­ È­¸é¿¡¼­ º¸ÀÌ´Â °Íó·³ XSS Ãë¾àÁ¡ÀÌ ¹ß»ýÇß´Ù°í °¡Á¤ÇßÀ» ¶§ »ç¿ëÀÚÀÇ °èÁ¤À» Å»ÃëÇϱ⠽±´Ù. ±×·¡¼­ µÇµµ·Ï ÄíÅ°¸¦ ÀÌ¿ëÇØ ÅäÅ«°ªÀ» ÀúÀåÇØ¾ß ÇÑ´Ù.

ÀÌ·¯ÇÑ Ãë¾àÁ¡µéÀº ½Ã½ºÅÛ ÇØÅ·¿¡¼­ Ãë¾àÁ¡ ºÐ¼®À» ÀÚµ¿È­ÇÏ´Â °Íº¸´Ù, ÄÚµùÀ¸·Î ÀÚµ¿È­Çϱ⠽±´Ù. ÀÌ¿Í ´õºÒ¾î ¼ÒÇÁÆ®¿þ¾î °³¹ß ºÐ¾ß¿¡¼­´Â ¼ÒÇÁÆ®¿þ¾î ¹èÆ÷ Àü º¸¾È Ãë¾àÁ¡ °Ë»ç·Î ¸ð´ø À¥¿¡¼­ ¹ß»ýÇÏ´Â Ãë¾àÁ¡À» ÁÙ¿©¾ß ÇÑ´Ù.

½ºÆ¿¸®¾ð À±¼®Âù ¿¬±¸¿øÀº ¸ð´ø À¥ ȯ°æ¿¡¼­ÀÇ ´ëÇ¥ Ãë¾àÁ¡¿¡ ´ëÇØ ¡°À¥ Ãë¾àÁ¡Àº ±âº» ÇÁ·¹ÀÓ ´Ü¿¡¼­ ¸·¾ÆÁֱ⵵ ÇÏÁö¸¸, ´Ù¸¥ ¿©·¯ ¿¡·¯µéÀÌ »ý±ä´Ù. °ú°Å À¥ ȯ°æ¿¡ Àͼ÷ÇÏ´Ù¸é ÇÁ·¹ÀÓ¿öÅ© ȯ°æ º¯È­¿¡ ¸ÂÃç ¸ð´ø À¥ º¸¾È¿¡ ´ëÇØ °øºÎÇϸ鼭 ÁغñÇÏ°í ´ëÀÀÇØ¾ß ÇÑ´Ù¡±°í °­Á¶Çß´Ù.

½ºÆ¿¸®¾ð ½Åµ¿ÈÖ ºÎ»çÀåÀº ¡®Á¦1ȸ Stealien Security Seminar¡¯¿¡ ´ëÇØ ¡°À̹ø ù º¸¾È ¼¼¹Ì³ª´Â Ãë¾àÁ¡ ºÐ¼® Áö¿øÀÚ, º¸¾È´ã´çÀÚ, °³¹ßÀÚ µî º¸¾È¿¡ °ü½ÉÀÖ´Â »ç¶÷À̶ó¸é ´©±¸³ª Âü¿©ÇÒ ¼ö ÀÖµµ·Ï ¸¶·ÃµÈ ÀÚ¸®¡±¶ó¸ç ¡°½ºÆ¿¸®¾ðÀÌ ¿î¿µÇÏ°í ÀÖ´Â SSL ÇÁ·Î±×·¥°ú Ãë¾àÁ¡ ¿¬±¸±â¾÷À¸·Î¼­ Áö±Ý±îÁö ÁøÇàµÈ ¿¬±¸°á°ú¿¡ ´ëÇØ °øÀ¯ ¹× ¼ÒÅëÇÏ°í ½Í¾ú´Ù¡±¸ç ¡°´ÙÀ½ º¸¾È ¼¼¹Ì³ª¿¡¼­´Â Á»´õ Èï¹Ì·Ó°í À¯ÀÍÇÑ ÁÖÁ¦¿Í ´Ù¾çÇÑ ÄÜÅÙÃ÷·Î ¸¸³²ÀÇ ÀåÀ» ¿­°Ú´Ù¡±°í ¹àÇû´Ù.
[±âȹÃëÀçÆÀ(boan3@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)