관리자 페이지 노출 이란? 웹 어플리케이션의 전반적인 기능 설정 및 회원 관리를 할 수 있는 관리자페이지가 추측 가능한 형태로 구성되어 있을 경우 공격자가 관리자페이지에 쉽게 접근을 할 수 있으며 무차별 대입 공격을 통하여 관리자 권한을 획득할 수 있는 취약점 취약점 개요 점검내용 ■ 유추하기 쉬운 URL로 관리자 페이지 메뉴 접근의 가능 여부 점검 점검목적 ■ 관리자 페이지 URL이 유추하기 쉬운 이름(admin, manager 등)이나 설정 프로그램 설계 오류 를 수정하여 비 인가자의 관리자 메뉴 접근을 방지하고자 함 보안위협 ■ 웹 관리자의 권한이 노출될 경우 홈페이지의 변조 뿐만 아니라 취약성 정도에 따라서 웹 서버 의 권한까지도 노출될 수 있음 점검대상 및 판단기준 대상 ■ 그누보드(localh..

파일 다운로드 란? 파일 다운로드 기능이 존재하는 웹 어플리케이션에서 파일 다운로드 시 파일의 경로 및 파일명을 파라미터로 받아 처리하는 경우 파일에 대한 접근 권한이 설정되어 있지 않다면 공격자가 파라미터를 조작하여 환경설정 파일, 웹 소스코드 파일, 데이터베이 스 연동 파일 등을 다운 받을 수 있는 취약점 취약점 개요 점검내용 ■ 다운로드 파일 저장이 허용된 디렉터리 외 다른 디렉터리의 접근이 가능한지 여부 점검 점검목적 ■ 공격자가 웹 사이트의 다운로드 파일이 저장된 디렉터리 이외의 접근을 방지하여, 해당 디렉터리 를 벗어나서 임의의 위치에 있는 파일을 열람하거나 다운받는 것을 불가능하게 하고자 함 보안위협 ■ 해당 취약점이 존재하는 경우, 공격자가 웹 사이트의 파일 다운로드 관련 애플리케이션의 인..

파일업로드 란? 파일 업로드 기능이 존재하는 웹 어플리케이션에서 확장자 필터링이 제대로 이루어지지 않았 을 경우 공격자가 악성 스크립트 파일(웹쉘)을 업로드 하여 웹을 통해 해당 시스템을 제어할 수 있어 명령어 실행 및 디렉터리 열람이 가능하고 웹 페이지 또한 변조가 가능한 취약점 취약점개요 점검내용 ■ 웹 사이트의 게시판, 자료실 둥에 조작된 Server Side Script 파일 업로드 및 실행가능 여부 점검 점검목적 ■ 업로드 되는 파일의 확장자에 대한 적절성 여부를 검증하는 로직을 통해 공격자자가 조작된 Server Side Script 파일 업로드 방지 및 서버 상에 저장된 경로를 유추하여 해당 Server Side Script 파일 실행을 불가능하게 하기 위함 보안위협 ■ 해당 취약점 존재 시..

프로세스 검증 누락 이란? 공격자가 인증이 필요한 페이지(관리자 페이지, 회원변경 페이지 등)를 인증 없이 우회하여 페이지에 접속 할 수 있는 취약점 취약점 개요 점검내용 ■ 인증이 필요한 웹 사이트의 중요(관리자 페이지, 회원변경 페이지 등) 페이지에 대한 접근 제어 설정 여부 확인 점검목적 ■ 인증이 필요한 모든 페이지에 대해 유효 세션임을 확인하는 프로세스 및 주요정보 페이지에 접 근 요청자의 권한 검증 로직을 적용하여, 비인가자가 하위 URL직접 접근, 스크립트 조작 등의 방 법으로 중요한 페이지에 접근 시도 하는 것을 차단하기 위함 보안위협 ■ 인증이 필요한 웹 사이트의 중요(관리자 페이지, 회원변경 페이지 등) 페이지에 대한 접근 제어 가 미흡할 경우 하위 URL 직접 접근,스크립트 조작 등의..

자동화 공격 이란? 어플리케이션 운영 시 특정 프로세스에 대한 접근시도 횟수 제한을 설정하지 않을 경우 공 격자가 자동화 툴 및 봇을 활용하여 일분에 수백 번의 접근을 시도 할 수 있으며 특정 프 로세스를 반복 수행함으로써 자동으로 수많은 프로세스(DoS, 무차별 대입 기법 등)가 진행 되어 시스템 성능에 영향을 미칠 수 있는 취약점 취약점개요 점검내용 ■ 자동화된 공격으로 인한 다수 수의 프로세스 실행 여부 점검 점검목적 ■ 웹 애플리케이션에 구현된 기능의 적절성에 보안위협 ■ 웹 애플리케이션의 특징 프로세스에 대한 접근 시도 횟수 제한을 설정하지 않고 자동화 공격을 방치하면, 웹 사이트를 다운시키거나 무차별 대입 공격으로 인해 사용자 계정을 탈취 할 수 있 고, 데이터 등록 또는 메일 발송 기능 등을..

세션 고정이란? 사용자 로그인 시 항상 일정하게 고정된 세션 ID 값을 사용하는 취약점으로 로그인 시 세션마다 새로운 세션ID가 발행되지 않는다면 세션 ID를 도용한 비인가자의 접근 및 권한 우회가 가능한 취약점 취약점개요 점검내용 ■ 사용자 로그인 시 항상 일정하게 고정된 세션 ID값을 발생하는지 여부 확인 점검목적 ■ 로그인 할 때마다 예측 불가능한 새로운 세션 ID를 발행하여 세션 ID의 고정 사용을 방지하기 위함 보안위협 ■ 사용자 로그인 시 항상 일정하게 고정된 세션ID가 발행되는 경우 세션 ID를 도용한 비인가자 의 접근 및 우회가 가능 점검대상 및 판단기준 대상 ■ 그누보드(localhost) 판단기준 양호: 로그인 할 떄마다 예측 불가능한 새션 ID가 발행되고, 기존 세션 ID는파기될경우 ..