[Secure]_03_[SSI Injection, 디렉터리 인덱싱, 정보 누출, 평문 노출, 마스킹 정보 소스에 평문 노출, 인코딩, 암호화, 통합 에러 설정, robot.txt, User-agent : * , 크로스 사이트 스크립팅]

SSI Injection

점검 내용 : 웹페이지 내 SSI injection 공격 가능성 점검.

   ** SSI(Server Side Includes): CGI 프로그램을 작성하거나  혹은 서버사이드 스크립트를 사용하는 언어로 웹 서버가 사용자에게 페이지를 제공하기 전에 구문을 해석하도록 지시하는 역할을 함. 

--> 운영체제 명령어와 비슷하다.(ls , ls -al, ...)

--> 운영체제 명령어를 웹에서 인식하는 것 자체가 큰 문제이기 때문에 거의 막아져 있다.

--> 발생 X

 

 

---

---

 

 

** 인젝션 취약점 : 내 화면이 아닌 서버에 문제를 일으키는 것

-> 인젝션 취약점은 점점 줄어든다.

-> 이유 : 패턴이 단순하다.(웹 방화벽에서 막을 수 도 있음.)

-> 그러나, 뚫리면 피해가 크기 때문에 중요하다.

 

** 지금부터 알아볼 크로스사이트 스크립트는 늘어난다.

-> 이유 : 패턴이 다양하다.

 

 

---

 

---

디렉터리 인덱싱

 

• 점검 목적 : 디렉터리 인덱싱 취약점을 제거하여 특정 디렉터리 내 파일 정보의 노출을 차단.
• 보안 위협 : 해당 취약점이 존재할 경우, 브라우저를 통해 특정 디렉터리 내 파일 리스트를 노출하여 응용시스템의 구조를 외부에 허용할 수 있고, 민감한 정보가 포함된 설정 파일 등이 노출될 경우 보안상 심각한 위험을 초래할 수 있음.
• 점검 방법 : 주소의 " / "뒤의 주소를 지움.(확인하고 싶은 데 까지) (보통 asp, php는 실제경로로 나타나고, jsp는 가짜경로가 나타난다.)

 

정보 누출

• 점검 내용 : 웹 서비스 시 불필요한 정보가 노출되는지 여부 점검.
• 점검 목적 : 웹 서비스 시 불필요한 정보가 노출 되는 것을 방지함으로써 2차 공격에 활용될 수 있는 정보 노출을 차단하기 위함.
• ** 사용자가 알 필요 없는 정보가 누출 --> 정보 누출.

 

정보 누출 취약점을 찾는 방법은 아주 많다. 그러나 왜 해당 경우가 취약한지 꼭 알아야 한다.

 

 

 

-점검 예시-

 

(1) 웹 사이트에 중요정보가 평문으로 노출되고 있는지 확인.

        --> 취약 이유 : 화면 전체가 해킹되어 있는 경우 취약.

 

(2) 웹 페이지에 마스킹(ex : ********) 된 중요정보가 웹페이지 소스에 평문으로 노출되고 있는지 확인.

       --> 취약 이유 : 이 경우, 중요 정보를 서버에 전송할 때에 평문으로 전송되기 때문에 취약하고, 메모리에도 정보가 평문으로 남기 때문에 취약.

 

(3) 에러 메시지 또는 에러 페이지에서 과도한 정보가 노출되는지 확인.

        --> 정보노출이라기 보다는 SQL Injection.

 

(4) 인코딩, 암호화.(차이)

       

인코딩 : 규칙에 따라 치환.

• (규칙만! 있기 때문에 누구나 디코딩 가능.)
• (컴퓨터가 알아듣기 쉽게 하기 위한 것.)
• ('키' 필요 없음.)
• ex) ASCII코드 치환, Base64 치환.

암호화 : '키'가 존재.

    --> '키'가 없으면 복호화 불가능.

 

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

 

위에서 얘기했듯이, 정보 누출이라는 취약점은 여러개의 취약점이 발생할 수 있다.

 

웹서버 오류 ->

403 : forbidden (실제로 존재하지만 권한이 x.)

404 : 존재하지 않음.

 

위와 같은 403 이나 404 같은 에러 메시지가 발생되는 경우, 홈페이지 구조를 파악할 수 도 있다.

 

이런 경우의 해결 방법은

-->  403 이나 404 등의 에러가 발생하는 경우 모두 동일 에러 페이지가 나오도록 설정하는 것이다.(통합 에러 설정.)

 

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

 

robot.txt :

• 검색 가능 범위를 알려주는 파일(따라서 민감한 정보는 넣어두면 안됨.).
• 모든 사이트에 존재한다.

과정 : ex)

구글 검색 --> naver --> robot.txt --> 구글에서 보여줌.

 

 

ex)

naver 관리자 페이지가 구글에 노출된 경우 --> 구글은 이미 naver관리자 페이지를 저장해둠.

 

naver에서 robot.txt로 관리자 페이지가 노출되지 않도록 변경. --> 구글에 저장해둔게 변하지는 않음(바로 바로 갱신하는 것이 아니라 주기적으로 갱신하기 때문에.).

 

ㅡㅡㅡ

robot.txt 에의

User-agent : *    --> 모든 것을 검색 가능.

 

위의 naver 와 구글의 예시 처럼 주기적 갱신 때문에 요즘엔 모든게 검색되게 해두고 검색 서버에게 검색이 안되도록 부탁하는 편이다. 

 

---

---

크로스 사이트 스크립팅

   - '내'가 입력한 스크립트문이 '내' 화면에 노출되는 것.

   - '내'가 입력한 값이 '내' '소스보기'에 무조건 보인다.

 

** '서버의 소스코드'와 사용자가 '소스코드보기'는  내용이 다르다.

   - XSS(서버에서 실행됨.  ex. jsp, asp, php, ...)가 빠짐.

   - 내 컴퓨터에서 실행되는 것은 무조건 소스보기에 있음.