1. 개요
잘못된 보안 구성은 애플리케이션 스택의 모든 영역에서 발생할 수 있다.
자동화된 취약점 스캐너로 그런 사항을 찾는데 유용하게 사용된다.
2. 영향
보안 설정이 미흡하게 유지되면 공격자가 인가되지 않은 시스템이나 기능에 접근할 기회를 얻을 수 있다.
이로 인해 시스템의 권한을 완전히 장악할 수도 있다.
3. 취약점 확인
1) 보안 강화 절차가 누락되거나 클라우드 서비스 상에 권한 설정이 부적절한가?
2) 불필요한 기능이 활성화 되어있나?
3) 디폴트 계정, 비밀번호가 활성화되어 있거나 변경했는가?
4) 에러 처리 과정에서 노출되는 정보가 있는가?
5) 업그레이드 후 최신 보안 기능이 비활성화되어 있는가?
6) 애플리케이션 서버, 프레임워크, 라이브러리, 데이터베이스 상에 보안 설정이 되어 있는가?
7) 취약한 버전의 소프트웨어를 사용하고 있는가?
4. 시나리오
1) 샘플 애플리케이션이 삭제되지 않은 상태로 운영 중이면, 공격자가 디폴트 패스워드를 사용해 권한을 획득할 수 있다.
2) 디렉터리 리스팅이 비활성화되지 않았다면, 자바 클래스 파일을 다운로드하여 리버스 엔지니어링을 통해 심각한 접근 통제 취약점을 찾아낼 수도 있다.
3) 너무 상세한 에러 메시지를 노출하도록 설정되어 있다면, 노출된 구성 요소 버전 정보는 공격에 도움을 줄 수 있다.
4) 클라우드 서비스의 경우 디폴트 공유 권한이 열려 있다면, 민감한 데이터에 접근을 허용할 수 있다.
5. 보안 대책
1) 개발, 품질 관리, 운영 환경은 환경 별로 다른 자격 증명 정보를 사용하고 동등한 보안 수준으로 설정한다.
2) 불필요한 기능, 구성 요소, 문서, 샘플 애플리케이션 없이 최소한으로 플랫폼을 유지한다.
3) 세분화, 컨테이너화, 클라우드 보안 그룹과 같은 방법으로 효율적이고 안전한 격리를 제공하는 세분화된 애플리케이션 아키텍처를 적용한다.
4) 보안 설정의 반영을 검증할 수 있는 자동화된 절차를 수립한다.
출처 : OWASP Top Ten Web Application Security Risks | OWASP
'Security > 정보보안기사' 카테고리의 다른 글
| [OWASP 2017] A8 안전하지 않은 역직렬화 (0) | 2023.01.28 |
|---|---|
| [OWASP 2017] A7 크로스 사이트 스크립팅(XSS) (0) | 2023.01.28 |
| [OWASP 2017] A5 취약한 접근 통제 (0) | 2023.01.27 |
| [OWASP 2017] A4 XML 외부 개체(XXE) (0) | 2023.01.26 |
| [OWASP 2017] A3 민감한 데이터 노출 (0) | 2023.01.26 |
댓글