'Web Hacking'에 해당되는 글 41건

해당 취약점을 들어가면 아래와 같이 영화 정보를 선택해서 보여주는 메뉴가 나온다.

GET/SEARCH 문제와 다르게 텍스트 박스가 없다. 하지만 url을 통해 요청이 가능하다. url에 sql 쿼리문을 넣어본다.

위와 같이 블라인드 sql 인젝션 구문인 or 1=1#을 대입한 결과 원래 선택헀던 영화 정보가 그대로 나온다. 이제 union sql 인젝션을 이용하여 컬럼 갯수를 파악한다.

union select all 1,2,3,4,5,6,7# 구문을 대입해본 결과 컬럼갯수는 7개고, title이 두번쨰, release가 3번째, character가 5번째, genre가 4번째인 것을 확인했다. 이제 해당 구문을 토대로 웹 서버 버전 정보를 확인해본다.

2번째 컬럼인 title에 버전정보가 뜨는것을 확인했다.

해당 취약점을 들어가면 영화 정보를 알려주는 화면이 나온다. 텍스트에 아무런 입력 없이 search 버튼을 누르면 영화 정보가 나온다.

여기에 블라인드 SQL 인젝션을 확인해 보기 위해 ' or 1=1#을 입력했다.

입력 결과 영화 정보가 그대로 출력되었다. 결과를 보니 필터링이 제대로 되어있지 않았다. 그래서 ' union select all 1,2,3,4,5#를 시작으로 컬럼 개수를 확인했다. 5개부터 시작한 이유는 화면에 나와있는 컬럼의 개수가 5개(Title, Release, Character, Genre, IMDb)이기 때문에 최소 5개이다. ' union select all 1,2,3,4,5,6,7#을 입력하니 다시 영화 정보가 나왔다. 그리고 맨 마지막 줄에 입력했던 숫자가 나왔다. 컬럼 갯수는 총 7개이다. 그리고 Title은 2번, Release는 3번, Character는 5번, Genre는 4번째 컬럼이였다. 서버 버전 정보가 궁금해서 2번을 @@version으로 바꿔봤다.

 ' union select all 1,@@version,3,4,5,6,7#을 입력한 결과 Title에 버전정보가 확인되었다.

LOW 난이도와 화면은 동일하다. First name과 Last name을 입력하면 Welcome과 함께 출력된다.

이번엔 LOW에서 사용했던 HTML 문구를 입력해서 LOW레벨과 동일하게 출력되는지 확인했다.

하지만 이번에는 LOW와 결과가 다르다. HTML 문을 입력했지만 일반 텍스트로 인식되었다. HTML문을 인식되게 하기 위해서 사용한 특수문자를 하나씩 url 인코딩해봤다. <는 %3c, >는 %3e, /는 %2f로 인코딩했다. 그래서 First name엔 %3ch1%3eSuccess%3c%2fh1%3e를, Last name에는 %3cimg src="http:%2f%2f192.168.10.144%2fbWAPP%2fimages%2fcc.png%e3%3c%2fimg%3e를 입력했다.

요청 결과 Success문구와 트위터를 포함한 여러가지 sns 아이콘이 출력됬다.

HTML Injection - Refelected (GET)의 LOW 난이도를 풀어본다.

이름과 성을 입력하는 화면이 나온다. First name에는 Gildong, Last name에는 Hong을 입력하여 요청했다.

요청 결과 아래에 Welcome Gildong Hong이라는 메시지를 출력했다.

First name과 Last name에 뭔가 HTML을 넣는 문제 같다. First name에는 <h1>Success</h1>을 넣고, Last name에는 <img src=http://bWAPP아이피/bWAPP/images/cc.png></img>를 넣어 Success문구와 cc.png라는 서버 안의 이미지를 출력해보겠다.

아래 welcome과 함께 success 문구와 cc마크가 출력되었다.

비박스(beebox)는 OWASP에서 제공하는 수많은 웹 관련 취약점을 실습할 수 있도록 구성된 가상 애플리케이션이다.

비박스를 설치하기 위해서는 아래의 사이트에 들어가서 비박스를 다운받아야 한다.

https://sourceforge.net/projects/bwapp/files/bee-box/

위 그림과 같은 화면이 나오면 네모표시에 있는 7z파일을 다운받는다. 다운받아서 압축을 풀고, vmware나, virtual box와 같은 가상 머신을 돌리는 프로그램으로 실행시키면 된다.

여기서 bWAPP - Start를 더블클릭하여 실행하면 로그인 화면이 나온다. 아이디는 bee 비밀번호는 bug로 로그인하면 메인 화면이 나온다.

화면 오른쪽 위에 choose your bug를 누르면 많은 취약점 예제가 나오고, set your security level를 이용하여 예제의 난이도를 설정할 수 있다. low, medium, high 세 단계의 난이도로 구성되어있다.

마지막으로 가상 머신의 네트워크는 NAT로 설정하고, 키보드는 초기에 벨기에어로 설정되어있다. Preference->Keyboard->Layouts->Add-> Korea Republic of로 설정한다.

Command Injection이란 웹 애플리케이션에서 system(), exec()와 같은 시스템 명령어를 실행할 수 있는 함수를 제공하며 사용자 입력값에 필터링이 제대로 이루어지지 않을 경우 공격자가 시스템 명령어를 호출할 수 있는 취약점이다. 시스템 계정 정보 유출, 백도어 설치, 관리자 권한 탈취 등의 공격을 수행한다.

Command Injection에 취약한 함수들

대응방안

  - 사용자 입력값에 운영체제 명령어를 실행할 수 있는 문자가 포함되어 있는지 적절히 필터링하여 차단한다.

  - 웹 애플리케이션 운영 상 운영체제 명령어를 사용해야 한다면 허용 가능한 명령어 리스트(명령어 화이트 리스트)를 선정하여 해당 명령어만 실행할 수 있도록 설정한다.

파일 업로드 취약점은 악성 서버 스크립트(ex : 웹쉘)를 서버에 전달하여 해당 페이지를 통해 악성 코드가 실행되도록 하는 취약점을 말한다. 삽입할 악성 서버 스크립트 파일의 위치가 로컬서버에 위치하는지 원격지에 위치하는지에 따라 LFI(Local File Inclusion)와 RFI(Remote File Inclusion)으로 나뉜다.

점검 방법

  - 사용자 게시판에 파일 첨부 기능 유무를 확인한다.

  - 첨부기능이 있는경우, jsp, php, asp, cgi 등의 Server Side Script 파일이 업로드 가능한지 확인한다.

  - 홈페이지에 있는 디렉터리 정보를 이용하여 Server Side Script 프로그램의 위치를 조사한 후 브라우저 주소창에서 해당 프로그램의 실행이 가능한지 확인한다.

우회 방법

  - 프록시 툴을 이용하여 확장자 검사를 우회한다.

  - 널바이트를 이용한다.

  - SQL Injection을 이용한다.

대응 방안

  - 소스코드에 include, require 등의 구문/함수가 존재하는지 검증한다.

  - php 설정파일인 php.ini 파일에서 allow url fopen을 off 설정한다.

  - 필터링 방식을 white-list 방식으로 하여 확장자 변경 등의 우회 기법을 차단한다.

  - 파일이 업로드되는 디렉터리가 사용자에게 노출되지 않도록 조치한다.

  - 첨부파일에 대한 검사는 반드시 서버측에서 구현한다.

  - 저장되는 파일이나 업로드 디렉터리가 실행권한을 갖지 않도록 실행권한을 제거한다.

파일 다운로드 취약점은 파일 다운로드 기능이 존재하는 웹에서 파일 다운로드 시 파일의 경로 및 파일명을 파라미터로 받아 처리하는 경우 이를 적절히 필터링 하지 않으면 공격자가 이를 조작하여 허용되지 않은 파일을 다운 받을 수 있는 취약점이다. 공격자는 취약점을 이용하여 시스템 환경 설정 파일, 소스 코드 파일, DB 연동 파일 등 중요한 파일을 다운 받을 수 있다.

점검 방법

  - 게시판 또는 공지사항, 자료실 등에서 cgi, jsp, php 등의 프로그램을 이용하여 파일을 다운로드 받는 페이지가 있는지 조사한다.

  - 다음과 같이 파일 다운로드를 시도한다.

    * ../../../../etc/passwd

    * ../../../../winnt/win.ini

    * ../../../../boot.ini

    * ../../../../wp-config.php (워드프레스인 경우)

    * xx/direct_download.php?file=./direct_download.php

  - 인코딩을 적용하여 해당 파일 내용이 표시되는지 확인한다.

    * url 인코딩 : .(%2e), /(%2f), \(%5c)

    * 16bit 유니코드 인코딩 : .(%u002e), /(%u2215), \(%u2216)

    * 더블 url 인코딩 : .(%252e), /(%252f), \(%255c)

  - ..//, ....\\, 등을 적용하여 패턴을 반복하지 않음으로써 방화벽 우회를 시도한다.

  - null바이트 인젝션 시도한다.

    * ../../../../etc/passwd%0a.jpg

  - 특정 디렉터리나 파일을 먼저 입력한 후 탐색 문자열을 입력한다.

    * /was/tomcat/image/../../../../etc/passwd

대응방안

  - 외부에서 입력하는 파일 경로와 이름에 대해 허용하는 경로 이외의 디렉터리와 파일에 접근할 수 없도록 처리한다.

  - 외부 입력값에 대해 파일 경로를 변경할 수 있는 문자열에 대해 필터링한다.

  - php로 개발된 경우 php.ini의 내용 중 magic_quotes_gpc 항목을 on으로 설정하여 ".\와 ./" 입력 시 치환되도록 설정한다.

CSRF(Cross Site Request Foregery)는 웹 애플리케이션에서 정상적인 경로를 요청한 요청과 비정상적인 경로를 통한 요청을 서버가 구분하지 못할 경우 공격자가 스크립트 구문을 이용하여 정상적인 사용자로 하여금 조작된 요청을 전송 하도록 하여 게시판 설정 변경, 회원정보 변경 등의 문제가 발생할 수 있는 취약점이다. 공격자가 공격을 당한 사용자의 권한을 그대로 사용하므로 공격 당한 사용자의 권한 수준에 따라 피해 범위가 달라진다. 악성 사이트를 유도하지 않고 사용이 가능하며 XSS와 헷갈리는 이유는 XSS와 같이 사용해야 훨씬 깔끔하게 피싱 사이트로 유도하는 등의 이점이 존재하기 때문이다.

대응 방안

  - 중요 정보는 쿠키에 저장하지 않는다.

  - XSS 취약점 확인

  - referer 확인

  - 단순한 Session Token만 이용한 권한 부여 금지

  - 정보 변경시 CAPTCHA를 이용하여 인증

  - GET/POST 구분

  - FORM 대신 AJAX를 통한 JSON API만 사용

XSS(Cross Site Script)란 웹 어플리케이션에서 사용자 입력 값에 대한 필터링이 제대로 이루어지지 않을 경우, 공격자가 입력이 가능한 폼에 악의적인 스크립트를 삽입하여 해당 스크립트가 희생자 측에서 동작하도록 하여 악의적인 행위를 수행하는 취약점이다. 공격자는 취약점을 이용하여 사용자의 개인정보 및 쿠키정보 탈취, 악성코드 감염, 웹 페이지 변조 등의 공격을 수행한다.

XSS 공격 종류

  - Stored XSS (저장형 XSS)

    * 공격자가 취약한 웹서버에 악성 스크립트를 저장하면 희생자가 해당 자료를 요청할 떄 해당 악성 스크립트가 삽입된 응답 페이지가 전달되어 클라이언트 측에서 동작하는 방식이다.

  - Reflected XSS (반사형 XSS)

    * 외부에 있는 악성 스크립트가 희생자 액션에 의해 취약한 웹서버로 전달되고, 웹서버의 응답 페이지에 해당 악성 스크립트가 삽입되어 희생자 측에서 동작하는 방식이다.

  - DOM based XSS (DOM 기반 XSS)

    * 희생자의 웹 브라우저에서 응답 페이지에 포함된 정상적인 스크립트가 동작하면서 DOM 객체를 실행할 때 URL 등에 포함된 악성 스크립트가 동작하는 방식이다. 응답 페이지에 관계없이 웹 브라우저에서 발생한다.

대응방안

  - 사용자 입력값 검증을 반드시 서버단에서 한다.

  - 사용자 입력 문자열에서 HTML 코드로 인식될 수 있는 특수문자를 일반문자로 치환하여 처리한다.

  - 게시판 등에서 HTML 태그를 허용해야하는 경우, HTML 태그 화이트리스트를 선정 후, 해당 태그만 허용하는 방식을 적용한다.