웹취약점점검- Command Injection

Command Injection 이란?

system(), exec() 와 같은 시스템 명령어를 실행시킬 수 있는 함수를 이용하여 사용자 입력 값에 대한 필터링이 제대로 이루어지지 않을 경우 공겨자가 운영체제 시스템 명령어를 호출하여 백도어 설치나 관리자 권한을 탈취 할 수 있는 취약점

취약점개요

점검내용	■ 웹사이트 내 운영체제 명령 실행 취약점 존재 여부 점검
점검목적	■ 적절한 검증절차를 거치지 않은 사용자 입력 값에 의해 의도하지 않은 시스템 명령어가 실행되      는 것을 방지하기 위함
보안위협	■ 해당 취약점이 존재하는 경우 부적절하게 권한이 변경되거나 시스템 동작 및 운영에 악영향을 줄 가능성이 있으므로 "|", "&", "'", """ 문자에 대한 필터링 구현이 필요함

 

 

점검대상 및 판단기준

대상	■ 그누보드(localhost)
판단기준	양호: 임의의 명령어 입력에 대한 검증이 이루어지는 경우
	취약: 임의의 명령어 입력에 대해 명령이 실행되는 경우
조치방법	애플리케이션은 운영체제로부터 명령어를 직접적으로 호출하지 않도록 구현하는게 좋지만, 부득이하게 사용해야 할 경우 소스 코드나 웹 방화벽에서 특수문자, 특수 구문에 대한 검증을 할 수 있도록 조치해야함

 

점검 및 조치 사례

1:1문의 패이지

삽입구문: ;cat /etc/shadow

 

※보안설정방법

-웹 방화벽에 모든 사용자 입력 값을 대상으로 악용될 수 있는 특수문자, 특수 구문 등을 필터링 할 수 있도록 규칙 적용

-애플리케이션은 운영체제로부터 명령어를 직접적으로 호출하지 않도록 구현

-명령어를 직접 호출하는 것이 필요한 경우에는, 데이터가 OS의 명령어 해석기에 전달되기 전에 입력 값을 검증/확인

 하도록 구현

-입력값에 대한 파라미터 데이터의 "|", "&", "'", """ 문자에 대한 필터링 처리

 

참고

www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=106&ST=T&SV=

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원