[OWASP 2017] A9 알려진 취약점이 있는 구성 요소 사용
1. 개요 이 문제에 대한 확산은 매우 광범위하다. 패치 관리 프로세스가 있어야 한다. 2. 영향 가장 큰 유출 사고들 중 일부는 이 취약점을 악용한 것이다. 3. 취약점 확인 1) 취약한, 지원되지 않는, 오래된 버전의 소프트웨어인가? 2) 구성요소의 구성 정보를 보호하고 있는가? 4. 시나리오 1) 코딩 오류, 구성 요소 내 백도어에서 발생할 수 있다. => 예 : 스트럿츠 2 원격코드 실행 취약점, 패치하기 어렵거나, 불가능한 사물 인터넷 => 자동화된 도구로는 shodan IoT 검색 엔진이 있다. 5. 보안 대책 1) 사용하지 않는 종속성, 불필요 기능, 구성 요소, 파일과 문서 제거한다. 2) versions, DependencyCheck, retire.js 같은 도구를 사용하여..
2023. 1. 28.
[OWASP 2017] A8 안전하지 않은 역직렬화
1. 개요 다소 어려운 공격이다. 객체 및 데이터 구조 관련 공격, 일반적인 데이터 변조 공격이다. 직렬화는 RPC/IPC, 유선 프로토콜, 웹 서비스, 메시지 브로커, 캐싱/지속 연결, DB, 캐시 서버, 파일 시스템, HTTP 쿠키, HTML 양식 파라미터, API 인증 토큰에 사용된다. 2. 영향 원격코드 실행 공격이 발생할 수 있다. 3. 취약점 확인 1) 공격자가 애플리케이션 로직을 수정하거나 애플리케이션에 사용 가능한 클래스가 있는가? => 임의의 원격 코드 실행으로 역직렬화 중이나 이후에 동작을 변경할 수 있다. 4. 시나리오 1) 공격자가 자바 직렬 킬러 도구를 사용하여 애플리케이션 서버에서 원격 코드 실행을 얻을 수 있다. 2) PHP에서 super 쿠키 저장 후 공격자가 ..
2023. 1. 28.
