크롬플러스 웹 브라우저 설치 및 사용 http://www.chromeplus.org/

실습 10. 웹보안

웹서비스는 누구에게나 개방된 서비스이기 때문에 전통적인 침입차단 시스템을 이용한 방어가 용이하지 않으며, 공격자들의 주요 공격목표가 된다. 이러한 공개성을 이용한 새로운 위협이 지속적으로 발견되고 있기 때문에 웹서비스 개발자는 보안에 많은 신경을 써서 서비스를 개발해야 하며 운영자는 최신 웹보안 기술의 발전에 관심을 가지고 배워서 보안취약점을 개선할 수 있어야 한다.

PHP form validation / Filters

참고자료

안전한 PHP 응용프로그램을 작성하는 일곱가지 습관

OWASP (The Open Web Application Security Project) - 오픈웹보안 프로젝트는 국제 웹 보안 표준 기구로서 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며 10 대 웹 애플리케이션의 취약점을 발표한다.

Top Ten Overview (2010)

A1: Injection

SQL, OS, LDAP 인젝션과 같은 인젝션 결함은 신뢰할 수 없는 데이터가 명령어나 질의어의 일부분으로써 인터프리터에 보내질 때 발생한다. 공격자의악의적인 데이터는 예기치않은 명령 실행이나 권한없는 데이터에 접근하도록 인터프리터를 속일 수 있다.

A2: Cross-Site Scripting (XSS)

XSS 결함은 적절한 확인이나 제한없이 애플리케이션이 신뢰할 수 없는 데이터를 갖고, 그것을 웹브라우저에 보낼 때 발생한다. XSS는 공격자가 피해자의 브라우저 내에서 스크립트의 실행을 허용함으로써, 사용자의 세션을 탈취하거나, 웹사이트를 변조하거나, 악의적인 사이트로 사용자를 리다이렉트할 수 있다.

A3: Broken Authentication and Session Management

인증과 세션 관리와 연관된 애플리케이션 기능은 종종 올바로 구현되지 않는다. 그 결과, 공격자로 하여금 다른 사용자의 아이덴터티로 가장 할 수 있도록 패스워드, 키, 세션 토큰 체계를 위태롭게하거나, 구현된 다른 결함들을 악용할 수 있도록 허용한다.

A4: Insecure Direct Object References

직접 객체 참조는 파일, 디렉토리, 데이터베이스 키와 같이 내부적으로 구현된 객체에 대해 개발자가 참조를 노출할 때 발생힌다.접근통제에 의한 확인이나 다른 보호가 없다면, 공격자는 이 참조를 권한 없는 데이터에 접근하기 위해 조작할 수 있다.

A5: Cross-Site Request Forgery (CSRF)

CSRF 공격은 로그온 된 피해자의 브라우저가 취약한 웹애플리케이션에 피해자의 세션 쿠키와 어떤 다른 자동으로 포함된 인증 정보를 갖고 변조된 HTTP 요청을 보내도록 강제한다. 이것은 공격자가 피해자의 브라우저로 하여금 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 착각하게 만드는 요청들을 생성하도록 강제하는 것을 허용한다.

A6: Security Misconfiguration

훌륭한 보안은 애플리케이션, 프레임워크, 애플리케이션서버, 웹서버, 데이터베이스 서버와 플랫폼에 대해 보안 구성이 정의되고 적용하기를 요구한다. 대부분이 보안을 기본적으로 탑재되지 않기 때문에 이 모든 설정은 정의되고, 구현되고, 유지되어야만 한다. 이것은 애플리케이션에서 사용되는 모든 코드 라이브러리를 포함하여 모든 소프트웨어가 최신의 상태를 유지하는 것을 포함한다.

A7: Insecure Cryptographic Storage

많은 웹애플리케이션들이 적절한 암호나 해쉬를 갖고 신용카드번호, 주민등록번호, 그리고 인증 신뢰 정보와 같은 민감한 데이터를 적절히 보호하지 않는다. 공격자는 아이덴티티 도난, 신용카드사기, 또는 다른 범죄를 저지르기 위해 그렇게 약하게 보호된 데이터를 훔치거나 조작할 지 모른다.

A8: Failure to Restrict URL Access

많은 웹애플리케이션들이 보호된 링크나 버튼을 표현하기 전에 URL 접근 권한을 확인한다. 그러나, 애플리케이션은 이 페이지들이 접근될 때마다 매번 유사한 접근 통제 확인이 필요하다. 공격자는 이 감춰진 페이지에 접근하기 위해 URL을 변조시킬 수 있다.

A9: Insufficient Transport Layer Protection

애플리케이션은 종종 민감한 네트워크 트래픽의 인증, 암호화, 그리고 비밀성과 무결성을 보호하는데 실패한다. 실패할 때에는 대체로 약한 알고리즘을 사용하거나, 만료되거나 유효하지 않은 인증서를 사용하거나 또는 그것들을 올바로 사용하지 않을 때이다.

A10: Unvalidated Redirects and Forwards

웹애플리케이션은 종종 사용자들을 다른 페이지로 리다이렉트하거나 포워드한다. 그러나, 목적 페이지를 결정하기 위해 신뢰되지 않는 데이터를 사용한다.적절한 확인이 없다면, 공격자는 피해자를 피싱 사이트나 악의적인 사이트로 리다이렉트 할 수 있고, 포워드를 권한 없는 페이지의 접근을 위해 사용할 수 있다.

실습내용

1. 안전한 PHP 응용프로그램을 작성하는 일곱가지 습관에서 웹보안 취약점을 항목별로 공부해본다.

2. 교재 소스로 구현한 홈페이지에서 이러한 취약점들이 존재하는지 점검해본다. 찾아낸 취약점은 수정하여 취약점을 제거한다.

3. 교재 소스로 구현한 홈페이지에서 특히 다음 내용을 수정한다.

문제점 1 (로그인 취약점): 로그인시 패스워드가 평문상태로 전달되고 데이터베이스에 그대로 저장되는 것이 취약성이 있음. crypt 함수를 이용하여 해쉬값을 계산하여 웹서버에 전달하고 데이터베이스에 해쉬값을 저장하여 이용하도록 소스를 수정한다.
문제점 2 (인젝션 취약점): 로그인 창에서 id, password 입력칸에 DB를 속일 수 있는 SQL 문을 입력 가능. 이런 것을 필터링하는 기능을 추가하여 소스를 수정한다.

http://mytory.net/archives/961

문제점 3 (파일업로드 취약점): 파일업로드 기능에서 어떤 파일이든지 업로드 가능하도록 되어 있는 것은 취약성이 매우 큼. 파일 확장자가 jpg, gif, hwp, pptx, docx, xlsx 등 알려진 확장자인 경우에만 파일 업로드 가능하도록 필터링하는 기능을 갖도록 소스를 수정한다.
문제점 4 (스크립트 취약점): 게시물에 스크립트를 마음대로 쓸 수 있게 되어 있어서 XSS 등의 취약성이 있음. 스크립트를 쓸 수 없도록 게시물의 본문을 필터링하는 기능을 추가하여 소스를 수정한다. PHP의 폼 입력값 검증, 필터 로직을 적용한다.