Command Injection이란 웹 애플리케이션에서 system(), exec()와 같은 시스템 명령어를 실행할 수 있는 함수를 제공하며 사용자 입력값에 필터링이 제대로 이루어지지 않을 경우 공격자가 시스템 명령어를 호출할 수 있는 취약점이다. 시스템 계정 정보 유출, 백도어 설치, 관리자 권한 탈취 등의 공격을 수행한다.

Command Injection에 취약한 함수들

대응방안

  - 사용자 입력값에 운영체제 명령어를 실행할 수 있는 문자가 포함되어 있는지 적절히 필터링하여 차단한다.

  - 웹 애플리케이션 운영 상 운영체제 명령어를 사용해야 한다면 허용 가능한 명령어 리스트(명령어 화이트 리스트)를 선정하여 해당 명령어만 실행할 수 있도록 설정한다.

파일 업로드 취약점은 악성 서버 스크립트(ex : 웹쉘)를 서버에 전달하여 해당 페이지를 통해 악성 코드가 실행되도록 하는 취약점을 말한다. 삽입할 악성 서버 스크립트 파일의 위치가 로컬서버에 위치하는지 원격지에 위치하는지에 따라 LFI(Local File Inclusion)와 RFI(Remote File Inclusion)으로 나뉜다.

점검 방법

  - 사용자 게시판에 파일 첨부 기능 유무를 확인한다.

  - 첨부기능이 있는경우, jsp, php, asp, cgi 등의 Server Side Script 파일이 업로드 가능한지 확인한다.

  - 홈페이지에 있는 디렉터리 정보를 이용하여 Server Side Script 프로그램의 위치를 조사한 후 브라우저 주소창에서 해당 프로그램의 실행이 가능한지 확인한다.

우회 방법

  - 프록시 툴을 이용하여 확장자 검사를 우회한다.

  - 널바이트를 이용한다.

  - SQL Injection을 이용한다.

대응 방안

  - 소스코드에 include, require 등의 구문/함수가 존재하는지 검증한다.

  - php 설정파일인 php.ini 파일에서 allow url fopen을 off 설정한다.

  - 필터링 방식을 white-list 방식으로 하여 확장자 변경 등의 우회 기법을 차단한다.

  - 파일이 업로드되는 디렉터리가 사용자에게 노출되지 않도록 조치한다.

  - 첨부파일에 대한 검사는 반드시 서버측에서 구현한다.

  - 저장되는 파일이나 업로드 디렉터리가 실행권한을 갖지 않도록 실행권한을 제거한다.

올해의 마지막 대회가 될 수 있는 HDCON 예선에 참여했습니다.

작년에 첫 대회 출전해서 딱 한 문제 밖에 못풀었으나, 풀었을때 그 감동을 다시 한 번 느껴보고 싶었습니다.

하지만 시작부터 1시간이 밀려서 대회가 시작되었고, 시작 후에도 대회 사이트는 제대로 운영되지 않았습니다. 엎친데 덮친격으로 팀원의 가상머신이 랜섬웨어에 감염되고, 외장하드가 날라가서 복구가 필요한 상황까지 오게되었습니다. 한 문제도 못풀어서 좌절을 느낀건 둘째고, 대회 진행때문에 수많은 문제가 있던 대회는 이번대회가 처음이였습니다. 그것도 KISA에서 주최하는 대회인데 말이죠....

제 실력에도 실망을 많이 했지만 KISA에도 실망한 대회였습니다.