1. 개요
이 문제에 대한 확산은 매우 광범위하다.
패치 관리 프로세스가 있어야 한다.
2. 영향
가장 큰 유출 사고들 중 일부는 이 취약점을 악용한 것이다.
3. 취약점 확인
1) 취약한, 지원되지 않는, 오래된 버전의 소프트웨어인가?
2) 구성요소의 구성 정보를 보호하고 있는가?
4. 시나리오
1) 코딩 오류, 구성 요소 내 백도어에서 발생할 수 있다.
=> 예 : 스트럿츠 2 원격코드 실행 취약점, 패치하기 어렵거나, 불가능한 사물 인터넷
=> 자동화된 도구로는 shodan IoT 검색 엔진이 있다.
5. 보안 대책
1) 사용하지 않는 종속성, 불필요 기능, 구성 요소, 파일과 문서 제거한다.
2) versions, DependencyCheck, retire.js 같은 도구를 사용하여 관리한다.
3) CVE와 NVD 구성요소 내 취약점을 지속적으로 모니터링한다.
4) 서명된 패키지를 사용한다.
* retire.js 에 대한 글
[WEB HACKING] Retire.js를 이용해 JS Library 취약점 찾기 (hahwul.com)
[WEB HACKING] Retire.js를 이용해 JS Library 취약점 찾기
오늘은 웹 해킹에 유용한 Browser Extension이자 분석툴의 plugin, 독자적으로 동작하는 Node.js app인 Retire.js에 대한 이야기를 할까 합니다. 써온지는 조금 됬으나 어느순간부터 Extension과 툴에 대한 소개
www.hahwul.com
* shodan
Shodan
Search engine of Internet-connected devices. Create a free account to get started.
www.shodan.io
'Security > 정보보안기사' 카테고리의 다른 글
| [보안용어] Shell Shock (0) | 2023.01.29 |
|---|---|
| [OWASP 2017] A10 불충분한 로깅 및 모니터링 (0) | 2023.01.28 |
| [OWASP 2017] A8 안전하지 않은 역직렬화 (0) | 2023.01.28 |
| [OWASP 2017] A7 크로스 사이트 스크립팅(XSS) (0) | 2023.01.28 |
| [OWASP 2017] A6 잘못된 보안 구성 (0) | 2023.01.27 |
댓글