주요 정보통신기반시설 - 기술적 취약점 - Web - 충분한 인증 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 중요 페이지에 추가 인증으로 접근을 강화하여 불필요한 정보의 노출 및 변조를 차단하기 위함 ■ 보안 위협 - 중요 정보(회원정보 등) 페이지에 대한 인증 절차가 불충분할 경우 발생하는 취약점으로 권한이 없는 사용자가 중요 정보 페이지에 접근하여 정보를 유출하거나 변조할 수 있으므로 중요 정보 페이지에는 추가적인 인증 절차를 구현하여야 함 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 중요 정보 페이지 접근 시 추가 인증을 하는 경우 - 취약 : 중요 정보 페이지 접근에 대한 추가 인증을 하지 않는 경우 ■ 조치 방법 - 중요 정보 페이지에 대한 추가 인증 로직 추가 구현 ■ 점검 방..
약한 문자열 강도 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 유추 가능한 취약한 문자열 사용을 제한하여 계정 및 패스워드 추측 공격을 방지하기 위함 ■ 보안 위협 - 해당 취약점 존재 시 유추가 용이한 계정 및 패스워드의 사용으로 인한 사용자 권한 탈취 위험이 존재하며, 해당 위험을 방지하기 위해 값의 적절성 및 복잡성을 검증하는 체크 로직을 구현하여야 함 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 관리자 계정 및 패스워드가 유추하기 어려운 계정으로 설정되어 있는 경우 - 취약 : 관리자 계정 및 패스워드가 유추하기 쉬운 계정으로 설정되어 있는 경우 ■ 조치 방법 - 계정 및 비밀번호의 체크 로직 추가 구현 ■ 점검 방법 Step 1) 웹 사이트 로그인 페이지의 로그인 창에 추측 가능한..
크로스사이트 스크립팅 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 웹 페이지 내 크로스사이트 스크립팅 취약점을 제거하여 악성 스크립트의 실행을 차단 ■ 보안 위협 - 웹 애플리케이션에서 사용자 입력 인수 값에 대한 필터링이 제대로 이루어지지 않을 경우, 사용자 인수 값을 받는 웹 사이트 게시판, URL 등에 악의적인 스크립트를 삽입하여 게시글이나 이메일을 읽는 사용자의 쿠키, 세션을 도용하거나 악성코드(URL 리다이렉션)를 유포할 수 있음 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 사용자 입력 인수 값에 대한 검증 및 필터링이 이루어지는 경우 - 취약 : 사용자 입력 값에 대한 검증 및 필터링이 이루어지지 않으며, html 코드가 입력, 실행 되는 경우 ■ 조치 방법 - 웹 사이트의 게시..
정보 누출 4E5C68 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 에러 상황에서 적절한 에러 페이지가 노출되도록 하여 2차 공격에 활용될 수 있는 불필요한 정보 노출을 차단하기 위함 ■ 보안 위협 - 웹사이트 내 적절한 에러 페이지가 마련되지 않은 경우 오류 메시지에서 웹 사이트의 민감한 정보(소스 코드 내 계정 및 비밀번호, 애플리케이션정보, DB정보, 웹서버 구성 정보, 개발 과정의 코멘트 등)가 노출되어 공격자들의 2차 공격을 위한 정보로 활용될 수 있음 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 웹 서비스 에러 페이지가 별도로 지정되어 있는 경우 - 취약 : 웹 서비스 에러 페이지가 별도로 지정되지 않아 에러 발생 시 중요 정보가 노출되는 경우 ■ 조치 방법 - 발생 가능한 각 ..
디렉터리 인덱싱 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 디렉터리 인덱싱 취약점을 제거하여 특정 디렉터리 내 불필요한 파일 정보 노출을 차단 ■ 보안 위협 - 해당 취약점이 존재할 경우 브라우저를 통해 특정 디렉터리 내 파일 리스트를 노출하여 응용시스템의 구조를 외부에 허용할 수 있고 민감한 정보가 포함된 설정 파일 등이 노출될 경우 보안상 심각한 위험을 초래할 수 있음 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 디렉터리 파일 리스트가 노출되지 않는 경우 - 취약 : 디렉터리 파일 리스트가 노출되는 경우 ■ 조치 방법 - 웹 서버 설정을 변경하여 디렉터리 파일 리스트가 노출 되지 않도록 설정 ■ 점검 방법 Step 1) URL 경로 중 확인 하고자 하는 디렉터리까지만 주소 창에 입력하..
XPath 인젝션 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - XPath 쿼리에 대한 적절한 필터링을 적용하여 웹사이트의 로직 손상 및 특정 데이터 추출을 차단하기 위함 ■ 보안 위협 - 해당 취약점이 존재할 경우 프로그래머가 의도하지 않았던 문자열을 전달하여 쿼리문의 의미를 왜곡시키거나 그 구조를 변경하고 임의의 쿼리를 실행하여 인가되지 않은 데이터를 열람할 수 있으므로 적절한 필터링 로직 구현이 필요함 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 쿼리 입력 값에 대한 검증이 이루어지는 경우 - 취약 : 쿼리 입력 값에 대한 검증이 이루어지지 않는 경우 ■ 조치 방법 - 쿼리 입력값에 대해 검증 로직 추가 구현 ■ 점검 방법 Step 1) ['and'a'='a, 'and'a'='b], [..
SSI 인젝션 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 적절한 입력값 검증 절차를 마련하여 악의적인 파일을 include 시켜 명령문이 실행되게 함으로 불법적으로 데이터에 접근할 수 있음 ■ 보안 위협 - 해당 취약점이 존재할 경우 웹서버 상에 있는 파일을 include 시켜 명령문이 실행되게 함으로 불법적으로 데이터에 접근할 수 있음 - 공통 SSI 구현은 외부의 파일을 include 할 수 있는 명령어를 제공하며, 웹 서버의 CGI 환경 변수를 설정하고 출력할 수 있고, 외부의 CGI 스크립트나 시스템 명령어들을 실행할 수 있으므로 사용자 압력 값에 대한 검증 로직을 추가로 구현하여야 함 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 사용자 입력 값에 대한 검증이 이루어지는 경우 - ..
