본문 바로가기
Security/정보보안기사

[OWASP 2017] A3 민감한 데이터 노출

by Berasix 2023. 1. 26.
반응형

1. 개요

​전송 구긴 및 브라우저 등에서 키를 훔치고, 중간자 공격으로 인해 민감한 데이터가 노출될 수 있다.

민감한 데이터를 암호화하지 않고, 취약한 키 생성 및 관리, 약한 알고리즘, 프로토콜, 암호 사용,

취약한 암호 해싱 저장등으로 발생할 수 있다.

2. 영향

민감한 개인 정보가 노출될 수 있음.

EU의 GDPR 같은 개인보호법이나 PCI DSS 같은 금융 데이터 보호 규정에 해당된다면 특별히 보호해야 한다.

3. 취약점 확인

1) HTTP, SMTP, FTP, 내부 트래픽 등에서 평문으로 데이터 전송하는가?

2) 백업 시 평문으로 처리하는 민감 데이터가 있나?

3) 취약한 암호 알고리즘을 적용하고 있는가?

4) 디폴트 암호 키 사용 및 약한 암호 키를 생성 및 재사용하거나 적절한 키 관리 및 변경이 되고 있는가?

5) 브라우저에서 암호화를 적용하고 있는가?

6) 클라이언트에서 서버 인증의 유효성을 확인하는가?

4. 시나리오

1) TLS를 사용하지 않거나 약한 암호화를 지원하는 사이트에서 공격자는 쉽게 트래픽을 모니터링하고, 요청을 중간에서 가로채 세션 쿠키를 탈취할 수 있다.

2) 패스워드 저장 시 솔트를 사용하지 않거나 간단한 해시를 사용하는 DB, 파일업로드 취약점을 통해 공격자가 패스워드 DB를 가져올 수 있다. 솔트 되지 않은 해시들은 레인보우 테이블에 노출될 수 있다.

5. 보안 대책

1) 데이터를 처리, 저장, 전송으로 분류한다.

2) 불필요한 데이터는 저장하지 않는다.

3) 민감 데이터를 암호화하는지 확인한다.

4) 최신 알고리즘, 프로토콜, 암호 키를 사용한다.

5) PFS(Perfect Forward Secrecy/완전순방향비밀성) 암호를 사용하는 TLS, 서버의 암호 우선순위 지정 및 보안 매개 변수와 같은 보안 프로토콜로 전송 중인 모든 데이터를 암호화한다. HSTS(HTTP Strict Transport Security)와 같은 지시문을 사용해 암호화한다.

6) 민감한 데이터를 포함하는 응답 캐시를 비활성화한다.

7) Argon2, scrypt, bcrypt, PBKDF2 같은 워크 팩터(딜레이 팩터)를 가진 적응형 솔트 된 해시 함수를 사용해 패스워드를 저장한다.

* PFS에 관한 글

https://rsec.kr/?p=465

 

PFS (Perfect Forward Secrecy) 란 무엇일까?

SSL / TLS 및 IPSEC VPN등에서 사용되는 PFS (Perfect Foward Secrecy) 의 개념 및 원리를 설명합니다. 나아가 PFS를 지원하는 암호화 슈트 (Cipher Suite)에 대한 정보를 제공하고 권장사항에 대해서 이야기 합니

rsec.kr

 

* HSTS 에 관한 글
* ​TLS 1.3에 관한 글
728x90

댓글