hacking study/모의 해킹 프로젝트

정보보안 스터디 - 15주차 1일 - 모의해킹 결과 보고서 리뷰과정

wonder12 2023. 1. 20. 01:28

 

 결과 보고서 리뷰: 못 찾았던 취약점 정리

SQLi 
파라미터에서,
/**/ 에서,
/**/ 또는 () 은 쿼리문에서 띄어쓰기 처리가 안될 때 띄어쓰기 처럼 구분지어주기 때문에 적용이 가능합니다.
ex) select/**/pass/**/from/**/members 
insert 에서,
파일명에서,
검색창에서 발생합니다.
XSS
파일명에서
주소 와일드카드
등에서 나옵니다.
컴색창 카테고리
CSRF
글 작성은 물론 글 수정, 삭제가 가능합니다.
자동화 공격
XSS 취약점으로 인해 
불충분한 세션 만료
세션 만료되는 시간을 확인한 결과 8시간 뒤에도 만료되지 않습니다. 
악성 컨텐츠 사용
확장자 검증을 하지 않아 exe파일 또는 파워셸 스크립트 ps1 을 업로드하여 실행시킬 수 있으므로 해당됩니다.
(+추가 nc를 이용한 원격으로 부하를 주는 쉘 스크립트를 서버에서 실행시키기)
정보 누출
html 주석으로 아이디와 비밀번호의 해시값이 나오고 있습니다.
이게 왜 취약점이냐고 할 수 있는데
XSS 를 통하여 유저가 접속했을 경우 아이디 비밀번호를 넘겨주는 것이 가능합니다.
또한 해시값이 노출되는 것은 복호화는 안되지만 레인보이 테이블로 알아내거나 사전 대입 방법으로 찾을 수 있습니다. 충분히 할 수 있는 것이 많아 다크웹에서는 가치가 있습니다.
프로세스 검증 누락의 항목이 불충분한 인가와 비슷해보일 때는 어떤점이 확실히 다른지 말할 줄 알아야합니다.

 

로그인 실패를 많이 해도 아무런 제제가 없는 것에 대해서

이게 왜 취약한 건지 상세 과정에서 더 상세하게 밝힙니다.

실패를 허용한다면 

python 코드로 만들어진 자동화 프로그램 쓸 수 있을 것이고 사전대입을 사용할 수 있을 것입니다.

그 프로그램을 돌려 비밀번호를 찾은 결과까지 써주면 심각성을 느낄 것이며 이해하기 좋은 보고서입니다. 

또한 보안 권고안: 캡챠를 사용합니다.

 

 

구체적인 대응 방안을 적어주는 것이 좋습니다.

페이지에서 ~요청을 받을 때 ~ 검증을 하지 않고 있습니다. 등

 

--

☞ 리뷰 과정

 

처음부터

총평에서는 인트로로 몇개의 항목에서의 취약점을 총 몇개 찾았습니다. 를 넣어줍니다.

소제목을 넣어주면서 강조한 건 좋았지만

모두 나열하는 것이 아니라

중요하게 강조할 부분 3가지를 뽑아 심각성을 보여줘야합니다.

그러기 위해서는 총평에는 결과로 나온 SQL, XSS 취약점들을 혼합하여 XSS의 흔적을 가릴 수 있다거나 등 가능할 법한 시나리오를 하나정도 자세하게 설명해둡니다. 또한 시나리오에 대한 도표자료가 있으면 좋습니다.

 

그 다음 찾은 모든 취약점의 결과 요약에 대해서는

간략하게 처음 훑어준다는 식으로 어떤 취약점을 찾았습니다 하고

넘깁니다. 왜냐하면 리뷰할 때 회원가입 부분 개발자, 댓글 기능 개발자 등 개발에 관여된 사람들이 올건데

그 때 아 메뉴를 보고 이부분에서 내가 주목해야겠고 질문해야겠다 라고 생각할 것이기 때문입니다.

 

그 다음

상세 취약점 에서는 

설명쭉해주면됩니다.

~했을 때 ~어떤 것이 발생합니다.

 

보안 권고안에서는 

굳이 현재 찾은 취약점 페이지에서 나오지도 않은 해결점을 작성할 필요는 없습니다.

해당하는 해결방안을 적어주고

카테고리로 나눠 선택지, 방안을 적어줍니다.

prepared statement
~ 하여 방지합니다.
필터링
위 방법이 안되거나 에디터를 사용할 경우 블랙 리스트 차단 필터링을 사용합니다.
하고 대안을 적어줄 수 있습니다.

 

말투는 전문가 라는 생각으로 소신을 가지고 진단을 내려줘야합니다.

아닐까요? 할 것 같아요. 라는 말투가 아니라. 이런부분에서는 방지 해줘야 합니다. 라고 리뷰합니다.

 

보안 담당자한테 설명할 때는 아무것도 모르는 지식이 없는 친구한테 설명한다는 생각으로 

~어떻게 해야 됩니다. 간단하게 말한 후 물어봤을 때 자세하게 이해하기 쉽도록 설명해줍니다. 

리뷰 연습을 많이 해보도록합니다.

 

 

보충 필요:

그림의 캡션을 사용합니다.

사용하지 않는 빈칸은 지웁니다.

우회할 수 있는 플로우 차단? 개념 공부

 

 

 

못찾은 취약점에 대해서 아주 꼼꼼하게 보고서를 다시 작성하고(취약점 찾기: 보고서 작성= 2:3) 수준으로 합니다. 

거의 보고서 따라쓰기 수준으로 참고해서 최대치의 노력한 포트폴리오(보고서)를 만듭니다.

이제 금취분평을 기준으로 할 겁니다. 무조건 많이 찾아서 리뷰 발표할 수 있도록 합니다.

리뷰 말하기 연습을 계속합니다. 

 

 

 

저작자표시 (새창열림)