1. 명령어 삽입 가능성 : HTML 형식이나 쿠키, URL 파라미터 형식으로 시스템 명령어를 삽입함으로써 웹상에서도 시스템 명령을 실행할 수 있는 취약점이 존재함
- php.ini의 allow_url_fopen=Off로 세팅변경해야 됨
2. XSS : 웹어플리케이션을 사용해서 다른 최종 사용자에게 자바스크립트와 같은 악성 데이터를 보낼 때 발생, 사용자의 환경 설정사항을 변경할 수 있음.
o htmlspecialchars()를 이용하여 특수만자를 Entity 형태로 치환 - 용도 : 이 함수는 특정 문자열에 대한 HTML encoding을 수행. 사용자가 입력한 값으로 HTML 페이지를 구성하기 전에 사용하면 Cross-Site Scripting 공격 대비를 위해 사용할 수 있음 - 사용법 htmlspecialchars("<a href='test'>Test</a>") - 결과 <a href='test'>Test</a;> o strip_tags() 함수를 이용하여 문자열로부터 HTML 태그와 PHP 태그를 제거 - 용도 : 사용자가 입력한 값을 HTML 화면에 출력할 경우 사용하여 Cross-Site Scripting 공격에 대비할 수 있음. - 적용 가능한 PHP 버전 : PHP 3.0.8 이상 - 사용법 A. strip_tags('<script>'); : 모든 HTML에서 <script> 태그를 제거한다.
o 사용자 입력으로 사용 가능한 문자들을 정해놓고, 그 문자들을 제외한 나머지 모든 문자들은 필터링 필터링 대상은 GET 질의 문자열, POST 데이터, 쿠키, URL, 그리고 일반적으로 브라우저와 웹서버가 주고받는 모든 데이터 포함
o 게시판에서 HTML 포맷을 사용할 수 없도록 설정
o 필요한 경우 모든 HTML을 사용하지 못하게 설정 후 필요한 HTML tag만 쓸 수 있도록 설정
3. SQL 구문 삽입 가능성 : 웹페이지를 통해 입력된 파라미터값을 이용하여 쿼리를 재구성하는 방법으로, 홈페이지 변조 및 DB정보의 유출 취약점이 있음.
일반대책
o 데이터베이스와 연동을 하는 스크립트의 모든 파라미터들을 점거하여 사용자의 입력 값이 SQL injection을 발생시키지 않도록 수정
o 사용자 입력이 SQL injection을 발생시키지 않도록 사용자 입력 시 특수 문자(' " / \ ; : Space - +등)가 포함되어 있는지 검사하여 허용되지 않은 문자열이나 문자가 포함된 경우에는 에러로 처리
o SQL 서버의 에러메지를 사용자에게 보여주지 않도록 설정. 공격자는 리턴 되는 에러 메시지에 대한 분석을 통하여 공격에 성공할 수 있는 SQL injection 스트링을 알아낼 수 있다. 따라서 SQL 서버의 에러메시지를 외부에 제공하지 않도록 한다.
o 웹 애플리케이션이 사용하는 데이터베이스 사용자의 권한을 제한 가능하면 일반 사용자 권한으로는 모든 system stored procedures에 접근하지 못하도록 하여 웹 애플리케이션의 SQL injection 취약점을 이용하여 데이터베이스 전체에 대한 제어권을 얻거나 데이터베이스를 운용중인 서버에 대한 접근이 불가능하도록 설정
o php.ini 설정 변경 magic_quotes_gpc 값을 On으로 설정
예) ; Magic quotes ; ; Magic quotes for incoming GET/POST/Cookie data. magic_quotes_gpc = On; Off에서 On으로 변경
; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc. magic_quotes_runtime = Off
; Use Sybase-style magic quotes (escape ' with " instead of \'). magic_quotes_sybase = Off
개발언어 대책 o 사용자로부터 입력받은 변수로 SQL 쿼리 구문을 생성하는 CGI는 입력 받은 변수를 체크하거나 변경하는 로직을 포함하고 있어야 한다. o 입력받은 변수와 데이터 베이스 필드의 데이터형을 일치 시켜야 하고, 사용 중인 SQL 구문을 변경시킬 수 있는 특수문자가 포함되어 있는지 체크해야 한다. o 검색 부분과 같이 클라이언트로부터 생성된 SQL 구문을 받는 부분이 있다면 이를 제거
4. 쿠키 스니핑/조작 가능성 : 별도의 암호화나 안전성을 확보하지 못해, 네트워크 패킷을 캡처하는 것만으로도 해당 값을 알아낼 수 있는 약점이 존재함
- SSL을 사용하여 로그인 트랜젝션 전체를 암호화 - Cookie 대신 보안성이 강한 Server Side Session 사용
5. 디렉터리 인덱싱 : 디렉터리 인덱싱이 허가 되어 있을 경우 특정 파일에 대한 다운로드를 통한 정보유출이 가능. - 아파치 Indexes 지시어가 들어가 있는 부분을 삭제 - 아파치 디폴트 디렉터리 icons, manual 삭제
6. 관리자 페이지 추측 : 일반 사용자와 관리자의 로그인 페이지가 동일할 경우, 관리자로의 접근 시도가 발생할 수 있음
- 될 수 있는 한 허용된 IP 대역에서만 관리자 페이지에 접속할 수 있게 설정
예) <Directory /home/www/admin/> AllowOverride AuthConfig (또는 All) Order deny, allow Deny from all Allow from 10.10.100.7 192.168.100.0/24 </Directory>
# 먼저 접근을 제어하고자 하는 디렉터리에 대한 상위 디렉터리 정의에 # AllowOverride 부분이 'All", 'AuthConfig', 'FileInfo' 등으로 설정되어 있어야 한다. <Directory "접근을 제어하고자 하는 디렉터리"> .... AllowOverride FileInfo AuthConfig Limit .... </Directory> .... AccessFileName .htaccess <Files ~ "^\.ht"> Order allow,deny Deny from all </Files>
<.htaccess> AuthName "인증이 필요한 관리자 페이지입니다." AuthType Basic AuthUserFile /home/www/admin/.htpasswd AuthGroupFile /dev/null require valid-user Order deny,allow Deny from all Allow from 10.10.100.7 192.168.100.0/24
관리자 페이지와 같이 인증이 필요한 디렉터리에 .htaccess 파일을 만들고 admin 계정의 패스워드를 다음과 같이 설정한다.
#/usr/local/apache/bin/htpasswd -c /home/www/admin/.htpasswd [사용자명] New passwd: ******** Re-type new password : ******** Adding password for user [사용자명]
# 주의사항 1. 아파치 서버의 경우 AllowOverride 지시자를 변경시 아파치 restart가 필요하다. 2. 관리자 페이지의 디렉터리명을 변경시 웹프로그램에서 관리자 디렉터리의 경로명을 지정하고 있는 경우 웹프로그램 또한 수정해야 된다. 3. 관리자 페이지 웹 서버 인증 설정시 관리자 디렉터리에는 일반 사용자의 접근이 필요한 파일이 존재하지 않아야 한다. 4. .htpasswd 파일에 other 사용자 부분에 read 권한이 있어야 된다.
7. 백업파일 : 웹 상에서 해당 파일을 확인 또는 다운로드 할 수 있어 내부 정보가 유출될 가능성이 있음.
- 웹상에서 백업 파일 볼 수 없도록 설정하거나 불필요한 백업 파일 삭제
# 아파치 설정 <Files ~ "\.bak$"> Order allow,deny Deny from all </Files>
# 특정 파일의 내용 보기 방지 AddType application/x-httpd-php .php .php3 .php4 .inc ,html .phtml .bak AddType application/x-httpd-php-source .phps
8. 디폴트 페이지 : 외부 공격자에게 해당 어플리케이션에 대한 정보를 전달 및 디폴트 페이지에 대한 취약성이 노출되어 있음
- 디폴트 디렉터리와 파일 삭제 예)phpinfo.php, 아파치 루트 디렉터리에 manual, icons 등
9. 파일 업로드 : 불필요한 코드의 업로드를 허용함으로서 시스템 정보유출 및 침해가능성이 있음. - 첨부 파일 업로드 기능을 통한 스크립트 업로드 및 실행을 금지 - Upload 파일을 위한 디렉터리에는 실행설정을 제거 - 첨부파일의 확장자 필터링 처리
10. 파일 다운로드 : 절대 경로를 URL에 직접 입력하는 형식으로 실행이 가능할 경우 임의의 정보 유출이 가능함. o 파일 다운로드의 취약성은 주로 파일의 이름을 조작하는 데서 비롯한다. 다운로드 파일의 이름을 데이터베이스에 저장하고 다운로드 수행 시 요청 파일 이름과 비교하여 적절한지 확인하여 사용자가 조작할 수 있는 변수를 제거하는 것이 바람직. 또한 다운로드 위치는 지정된 데이터 저장소를 고장하여 사용하는 것이 바람직.
o 파일을 다운로드 받을 수 있는 디렉터리를 특정 디렉터리로 한정
o PHP를 사용하는 경우 php.ini에서 magic_qutoes_gpc를 On으로 설정하여 ".\./"와 같은 역 슬래시 문자에 대해 대응 가능
11. 인증절차 미흡 : 로그인을 확인하는 모듈이 존재하지 않는 관리자 페이지나 기타 페이지가 존재한다면 로그인을 하지 않고 직접적인 접근이 가능하게됨. - 로그인을 확인하는 모듈이 존재하지 않는 관리자 페이지나 기타페이지가 존재하는지 점검
12. 히든필드 점검 : 데이터를 전송하는 방법 중 Hidden 필드를 이용하여 전송하는 경우가 있는데, 이때 이 값을 변경하여 시스템을 공격할 수 있음.
회원정보 변경 모듈에 사용자의 key 값(예:id)를 hidden form 필드로 전송한 후, 이를 다시 받아서 update에 사용하는 경우가 있는데, 공격자가 이 값을 변경할 경우 다른 사용자의 정보를 변경할 수 있는 취약점이 존재
o 해당 값의 무결성을 검사할 수 있는 루틴(예, 해쉬값 비교)의 추가 또는 서버 세션을 이용
13. 취약한 패스워드 추측하기 힘든 어려운 패스워드를 사용
14. Google Hacking : 구글 검색기능을 통하여 로그인을 통하지 않고 접근할 수 있거나 해킹에 필요한 정보를 습득할 수 있음. - 서비스 중인 도메인 구글 검색어 site:도메인명으로 검색해서 조치
15. 기타 o [PHP 4.0 이상] 환경 설정(php.ini) 내용 중 register_global을 "On"으로 설정할 경우, PHP 스크립트의 변수 값을 임의로 변경할 수 있는 취약성 존재. 따라서 register_global은 "off"로 설정한 후, $_GET, $_POST 문을 사용해서 사용자가 전달한 값을 얻어야 한다.
o PHP 스크립트 오류를 사용자에게 보내지 않기 위해서 PHP 환경 설정(php.ini)에서 아래와 같이 설정 log_error = On display_errors = Off
o include 파일을 보호 - 일반적인 디렉터리 (/lib, /include, /library등)을 사용하지 않도록 한다. - include 파일들의 확장자를 .inc나 .lib등을 사용하는 경우 웹 페이지 상에서 텍스트 파일로 인식하지 않도록 .php를 붙여서 사용한다. (예: config.inc.php, lib.inc.php등) - 별도의 확장자를 사용할 경우 아래와 같이 해당 확장자를 처리할 수 있도록 웹서버에서 설정 AddType application/x-httpd-php .lib .inc .html .htm .php .xml
Apache 보안 강화 설정 o 불필요한 파일 관리 테스트 파일과 같은 불필요한 파일 삭제. 서비스와 관련 없는 디렉터리는 일반 사용자가 접근이 불가능하도록 적절한 권한을 설정. <Files ~"\.bak$"> Order allow,deny Deny from all </Files>
o 최소한의 사용자 계정 사용 아파치 운영 시 위험을 최소화하기 위해서 최소한의 권한을 가진 사용자 아이디와 그룹으로 운영하는 것이 안전.
o 디렉터리 Indexes 설정 제거 <Directory "/usr/local/apache"> Options Indexes <- 제거한다 </Directory>
o 심볼릭 링크 사용 설정 제거 <Directory "/usr/local/apache"> Options FollowSymLinks <- 제거한다 </Directory>
o PUT, POST, DELETE의 제한 <Directory "/home/*/public_html"> <Limit POST PUT DELETE> Require valid-user </Limit> </Directory>
o 헤더 정보 숨기거나 최소화 ServerTokens Prod ServerSignature Off
o 특정 파일의 내용 보기 방지 AddType application/x-httpd-php .php .php3 .php4 .inc .html .phtml .bak .xml .wml AddType application/x-httpd-php-source .phps