2017년 OWASP TOP 10과 주요정보통신기반시설의 웹 취약점 항목을 비교하였는데 뭔가 맘에 안드네요. 일단 다시 작성하기 전에 아까워서 매핑표를 기록해 둡니다.

OWASP 2017 기반의 기반시설 취약점 분류표.xlsx


※ OWASP TOP10 위협 기반의 기반시설 웹 취약점 항목표 

구분 진단 항목
A1. 익젝션 ○ 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부로 보내질때 발생하는 취약점
- SQL, LDAP, XPath, SSI 인젝션
A2. 인증 및 세션관리 취약점 ○ 취약한 암호, 키 또는 세션 토큰을 제공하여 다른 사용자의 권한이 노출되는 취약점
- 세션 예측, 불충분한 세션만료, 세션고정, 쿠기변조
A3. 크로스 사이트 스크립팅 ○ 적절한 유효성 검사 또는 이스케이프 처리 부재로 악의적인 스크립트를 삽입할 수 있는 취약점
- 악성콘텐츠, 크로스사이트스크립팅
A4. 취약한 접근 제어 ○ 인증된 사용자만이 수행할 수 있는 기능에 권한 제한이 부재하여 기능 조작이 가능한 취약점
- 불충분한 인증/인가, 프로세스 검증누락, 파일 다운로드, 관리자페이지 노출, 경로추적, 위치공개
A5. 보안 설정 오류 ○ 웹 서비스의 기본 보안 설정을 그대로 사용하거나 최신 버전으로 관리하지 않아 발생하는 취약점
- 디렉토리 인덱싱
A6. 민감 데이터 노출 ○ 금융정보, 건강정보, 개인식별 정보와 같은 민감정보를 안전하게 보호하지 못해서 노출되는 취약점
- 정보누출, 약한 문자열강도, 취약한 패스워드 복구, 데이터 평문전송
A7. 공격 방어 취약점 ○ 시큐어코딩을 통한 입력값 검사를 뛰어넘어 자동 탐지, 로깅, 응답 및 익스플로잇 시도 차단이 미흡한 취약점
- 자동화 공격
A8. 크로스 사이트 요청 변조 ○ 피해자의 권한으로 위조된 HTTP 요청을 강제로 보낼 수 있는 취약점
- 크로스사이트 리퀘스트 변조
A9. 알려진 취약점이 있는 컴포너트 사용 ○ 알려진 취약점이 존재하는 컴포넌트를 사용한 어플리케이션 및 API가 노출되어 발생하는 취약점
A10. 취약한 API ○ API를 통해서 연결된 웹 브라우저 및 모바일 어플리케이션의 API가 보호되지 않아 발생하는 취약점
기타 ○ OWASP 분류 외 주요정보통신기반시설 취약점 항목
- 버퍼오버플로우, 포멧스트링, 파일 업로드 등


주요정보통신 기반시설 점검항목

코드

취약점명

설 명

등급

BO

버퍼오버플로우

메모리나 버퍼의 블록 크기보다 더 많은 데이터를 넣음으로써 결함을 발생시키는 취약점

FS

포맷스트링

스트링을 처리하는 부분에서 메모리 공간에 접근할 수 있는 문제를 이용하는 취약점

LI

LDAP인젝션

LDAP(Lightweight Directory Access Protocol) 쿼리를 주입함으로서 개인정보 등의 내용이 유출될 수 있는 문제를 이용하는 취약점

OC

운영체제명령실행

웹사이트의 인터페이스를 통해 웹서버를 운영하는 운영체제 명령을 실행하는 취약점

SI

SQL인젝션

SQL문으로 해석될 수 있는 입력을 시도하여 데이터베이스에 접근할 수 있는 취약점

SS

SSI인젝션

SSI(Server-side Include)“Last modified"와 같이 서버가 HTML 문서에 입려갛는 변수 값으로, 웹서버상에 있는 파일을 include 시키고, 명령문이 실행되게 하여 데이터에 접근할 수 있는 취약점

XI

XPath인젝션

조작된 XPath(XML Path Language) 쿼리를 보냄으로써 비정상적인 데이터를 쿼리해 수 있는 취약점

DI

디렉토리인덱싱

요청 파일이 존재하지 않을 때 자동적으로 디렉토리 리스트를 출력하는 취약점

IL

정보누출

웹 사이트 데이터가 노출되는 것으로 개발과정의 코멘트나 오류 메시지 등에서 중요한 정보가 노출되어 공격자에게 2차 공격을 하기 위한 중요한 정보를 제공할 수 있는 취약점

CS

악성콘텐츠

웹애플리케이션에 정상적인 컨텐츠 대신에 악성 컨텐츠를 주입하여 사용자에게 악의적인 영항을 미치는 취약점

XS

크로스사이트스크립팅

웹애플리케이션을 사용해서 다른 최종 사용자의 클라이언트에서 임의의 스크립트가 실행되는 취약점

BF

약한문자열강도

사용자의 이름이나 패스워드, 신용카드 정보나 암호화 키 등을 자동으로 대입하여 여러 시행착오 후에 맞는 값이 발견되는 취약점

IA

불충분한 인증

민감한 데이터에 접근할 수 있는 곳에 취약한 인증 메커니즘으로 구현된 취약점

PR

취약한

패스워드 복구

취약한 패스워드 복구 메커니즘(패스워드 찾기 등)에 대해 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경, 복구할 수 있는 취약점

CF

크로스사이트

리퀘스트변조(CSRF)

CSRF 공격은 로그온한 사용자 브라우저로 하여금 사용자의 세션 쿠키와 기타 인증 정보를 포함하는 위조된 HTTP 요청을 취약한 웹애플리케이션에 전송하는 취약점

SE

세션 예측

단순히 숫자가 증가하는 방법 등의 취약한 특정 세션의 식별자(ID)를 예측하여 세션을 가로챌 수 있는 취약점

IN

불충분한 인가

민감한 데이터 또는 기능에 대한 접근권한 제한을 두지 않은 취약점

SC

불충분한 세션만료

세션의 만료 기간을 정하지 않거나, 만료일자를 너무 길게 설정하여 공격자가 만료되지 않은 세션 활용이 가능하게 되는 취약점

SF

세션고정

세션값을 고정하여 명확한 세션 식별자(ID) 값으로 사용자가 로그인하여 정의된 세션 식별자(ID) 사용 가능하게 되는 취약점

AU

자동화공격

웹애플리케이션에 정해진 프로세스에 자동화된 공격을 수행함으로써 자동으로 수많은 프로세스가 진행되는 취약점

PV

프로세스검증누락

공격자가 응용의 계획된 플로우 통제를 우회하는 것을 허가하는 취약점

FU

파일업로드

파일을 업로드 할 수 있는 기능을 이용하여 시스템 명령어를 실행할 수 있는 웹 프로그램을 업로드 할 수 있는 취약점

FD

파일다운로드

파일 다운로드 스크립트를 이용하여 첨부된 주요 파일을 다운로드 할 수 있는 취약점

AE

관리자페이지 노출

단순한 관리자 페이지 이름(admin, manager )이나 설정, 프로그램 설계상의 오류로 인해 관리자 메뉴에 직접 접근할 수 있는 취약점

PT

경로추적

공격자에게 외부에서 디렉터리에 접근할 수 있는 것이 허가되는 문제점으로 웹 루트 디렉터리에서 외부의 파일까지 접근하고 실핼할 수 있는 취약점

PL

위치공개

예측 가능한 디렉토리나 파일명을 사용하여 해당 위치가 쉽게 노출되어 공격자가 이를 악용하여 대상에 대한 정보와 민감한 정보가 담긴 데이터에 접근이 가능하게 되는 취약점

SN

데이터평문전송

서버와 클라이언트간 통신 시 암호화하여 전송을 하지 않아 중요 정보 등이 평문으로 전송되는 취약점

CC

쿠키변조

적절히 보호되지 않은 쿠키를 사용하여 쿠키 인젝션 등과 같은 쿠키 값 변조를 통한 다른 사용자로의 위장 및 권한 상승 등이 가능한 취약점


Posted by n3015m

Shodan is a search engine that lets the user find specific types of computers (web cams, routers, servers, etc.) connected to the internet using a variety of filters. Some have also described it as a search engine of service banners, which are meta-data the server sends back to the client.[1] This can be information about the server software, what options the service supports, a welcome message or anything else that the client can find out before interacting with the server.


쇼단(SHODAN)을 이용하여 특정 기업의 자산을 조사하니 구글에 비해서 효율적이고 편리합니다. 또한 다양한 서비스 현황을 수집할 수 있어 정보 조사에 매우 유용한 사이트입니다.

쇼단 사이트 주소 : https://www.shodan.io/


쇼단을 이용한 정보 검색방법 요약

  ○ 특정 기관명 검색

일당 기관의 약자등을 IoT 또는 통신기기 등에 많이 사용하기 때문에 해당 기관의 약자를 이용하여 검색하는 것이 효율적이다.

예시 : n3oism

또한, 특정 국가일 경우에는 아래와 같이 검색어에 country를 추가해서 특정 국가에 해다오디는 결를 검색이 가능하다.

예시 : n3oism country:"KR"


  ○ 호스트 명으로 검색

웹 사이트 도메인 주소는 호스트명으로 사용되며, 도메인 정보를 조회하면 정확하게 관련 정보를 검색 할 수 있습니다.

예시 : hostname:"n3oism.com" country:"KR" 


  ○ 기관명으로 검색

특정 기관을 검색해서 쇼단에서 분류하고 있는 ORG(기관명)을 이용하여 해당 기관의 서비스만 검색이 가능합니다.

예시 : org:"n3oism innovation"


  ○ IP대역으로 검색

특정 기관 및 서비스 대상의 IP를 알고 있다면 해당 IP대역을 조회해서 검색이 가능합니다. C 클래스 전체를 검색하기 위해서는 검색어의 뒤에 ".0/24"로 입력해야 합니다.

예시 : net:"127.0.0.0/24"


  ○ SHODAN CLI

쇼단을 이용하여 CLI인터페이스에서 사용이 가능합니다. 검색결과를 문서로 정리할때 매우 유용할거 같습니다.

예시: shodan search --separator \",\" --fields ip_str,port,org,hostnames,product,data org:\"n3oism"


Posted by n3015m

BLOG main image
'네오이즘'의 보안LAB 블로그입니다........... n3oism@gmail.com by n3015m

카테고리

분류 전체보기 (226)
[ HappyDevTool ] (29)
[ HappyToolRelease ] (4)
[Book] (5)
[ Security Studies ] (0)
- CII (2)
- BigData (2)
- Web Hacking (10)
- SQL Injection (25)
- Mobile Security (8)
- Network (6)
- OperatingSystem (4)
- Malware & Reversing (4)
- Phishing (5)
- Compliance (0)
- Programming (13)
- Tools (13)
- IoT (6)
- etc (21)
[Pentration Testing] (3)
[OS X] (4)
[ Security Trends ] (16)
[ Fixing Guideline ] (7)
My Way, My Life (34)
About Me (2)
Total : 236,977
Today : 45 Yesterday : 59