정보보안 스터디 - 33주차 1일 - 취약점 디테일들6

 

etc

mp3 자료의 enc암호화 값이 계속 바뀌면

변조해서 원하는 자료를 불러오지 못합니다. > 다운도 못합니다.

 

 

악성컨텐츠 삽입

?returnURL= 등 일 경우 왜 이 기능을 넣었는지 생각해보면

로그인 후 리다이렉트 될 거라고 예상해볼 수 있습니다. 임의의 URL을 넣어봅니다.

악성 피싱사이트로 리다이렉트가 충분히 가능하기 때문에 취약점이라고 할 수 있습니다.

이 때 공격자는 짧은url + 인코딩을 해서 알아차리지 못하게 합니다.  

 

하지만 이것은 사용자가 직접 요청하기 때문에 SSRF을 하지는 못합니다.

 

 

정보 누출

전화번호 등이 마스킹 처리가 서버 측에서 제대로 안되서 burp에서 확인이 가능한 경우가 있습니다.

정보누출로 됩니다.

 

1) web.config > ASP web.config 웹쉘을 생각해볼 수 있지만 생각해보면 jsp도 해당됩니다.

물론 같은 디렉토리에 있어도 directory traversal로만 불러올 수 있습니다.

원하는 디렉토리에 업로드가 가능하면서, 실행이 가능하다면 웹쉘 업로드가 가능합니다. 

2) 쿠키에서 ASP.NET_sessionid= 라는 부분이 있으면 ASP 입니다. 확인해줍니다.

 

 

XSS

XSS 해본 결과

javascript는 블랙리스트로 무조건 잡고

화이트리스트로 이벤트핸들러 사용할 수 없도록 해놓았습니다.

따라서 필요한 이벤트핸들러를 사용할 일이 없기 때문에 안전하다고 볼 수 있습니다.

 

시도한 것들

iframe src="javascript:alert(1)"

a href="javascript:alert(1)"

audio

video

다 안됨

onfocusin, onanimationstart=1 

등 여러 이벤트핸들러 한꺼번에 넣었지만 다 화이트리스트 > 안되는 것으로 확인되었습니다.

애매하게 막는다면 찾아서 우회하겠지만 이건 확실합니다.

 

javascript 문자열 우회도 생각해봤지만 어렵습니다.

 

PUT, DELETE로 구현되어있고

글 삭제 작성 부분에서만 페이지가 따로 메소드가 허용되어있습니다.

엄연한 webdav였다면 웹쉘업로드를 생각해볼 수 있겠지만

정상적으로 보안이 되었다면  

페이지에 파라미터 값이 제대로 들어가야되며

content-type도 지켜줘야되며

특정 경로에서만 put이 되도록 했습니다.

 

 

json 형식이면 \" 하면 되긴 하지만

잘들어가도 반응안하는 것도 있습니다.

 

 

 

++ XSS 보안 대응방안

httponly 가 되어있다고 하더라도

쿠키만 공격이 안되는거지(TRACE 허용이면 우회가능)

XSS는 악성 리다이렉트 공격, html deface > 크리덴셜 수집 등 가능하므로

근본적인 방법이 아닙니다.

 

 

====

(금)

이행 점검 때는 DOA 항목 중요도 평가가 필요합니다.

 

HTTP-API2/0 의 경우에는 IIS를 사용하는 것이며 헤더 Server 내용 삭제를 하면 됩니다.

IIS manager > URL 재작성 > 아웃바운드 빈 규칙 추가 > Server:none (임의 값으로 바꿀 수 있습니다.)

RESPONSE_SERVER? 로 해주면 되고 패턴은 .* 

 

 

리뷰---

정보 누출

고정 에러페이지 띄우고 그것과 별개로 Server: 안보이게 도 조치했습니다.

 

XSS

<meta http-equiv="refresh" content="0; url=//daum.net">

리다이렉트가 가능합니다.