반응형
1. 개요
거의 모든 중요한 보안사고의 기반이다.
침투 테스트 후 로그를 검사해야 한다.
2. 영향
취약점이 탐색되어지고, 공격 성공률이 높아진다.
3. 취약점 확인
1) 로그인, 로그인 실패, 트랜잭션 같은 감사해야 할 이벤트가 기록되고 있는가?
2) 경고 및 오류에 대한 로그 메시지가 없거나, 불충분하거나 불명확한가?
3) 로그를 로컬에만 저장하는가?
4) 사용자나 공격자에게 로깅이나 경고 이벤트가 보이는가?
4. 시나리오
1) 오픈소스 프로젝트 포럼 소프트웨어가 결함이 악용되어 해킹당하는 경우.
2) 공격자가 공통 암호로 사용자를 찾기 위해 스캔한다. 이 암호를 사용하여 모든 계정을 탈취할 수 있다. 이 스캔은 단지 하나의 잘못된 로그인 기록만 남긴다.
3) 중요한 탐지가 있었으나 아무도 탐지에 대응하지 않은 경우.
5. 보안 대책
1) 모든 로그인, 접근 통제 실패, 입력값 검증 실패 등이 기록되도록 한다.
2) 중앙 집중적 로그 관리 솔루션을 쓴다. SIEM 같은?
3) 감사 추적 기능을 확실히 한다.
4) AppSensor 같은 사용 혹은 오픈소스 애플리케이션 보호 프레임워크, Modesecurity 같은 WAP 등을 이용한다.
728x90
'Security > 정보보안기사' 카테고리의 다른 글
| [보안용어] 3.20 사이버테러 (0) | 2023.01.29 |
|---|---|
| [보안용어] Shell Shock (0) | 2023.01.29 |
| [OWASP 2017] A9 알려진 취약점이 있는 구성 요소 사용 (0) | 2023.01.28 |
| [OWASP 2017] A8 안전하지 않은 역직렬화 (0) | 2023.01.28 |
| [OWASP 2017] A7 크로스 사이트 스크립팅(XSS) (0) | 2023.01.28 |
댓글