Offcanvas

보안 / 애플리케이션

해커들이 악용하는 최악의 웹 애플리케이션 로직 결함 톱 10

2012.05.08 Ellen Messmer  |  Network World
6. 비즈니스 흐름 우회
애플리케이션에는 재전송과 페이스 전송에 의해 제어되는 흐름이 포함되어 있다. 하지만 많은 경우에 이런 흐름을 우회하여 오류 조건이나 정보 유출이 발생할 수 있으며, 이를 통해 공격자는 중요한 백엔드 정보를 찾아낼 수 있다. 비즈니스 기능과 매개변수를 프록시(Proxy)를 통해 간섭할 수 있는지 테스트해 보아야 한다.
 
7. 자바스크립트, 플래시, 실버라이트 등에 내장된 클라이언트 측의 비즈니스 절차 악용
현재 많은 비즈니스 애플리케이션이 자바스크립트, 플래시, 플래시라이트 등을 활용하는 RIA 프레임워크 상에서 구동하며, 많은 경우에 로직은 클라이언트 측의 구성요소에 내장될 수 있다. 이것들은 역엔지니어링이 가능하며, 플래시나 실버라이트의 경우에는 이런 파일을 역컴파일해 해당 애플리케이션이 사용한 실제적인 로직을 찾아낼 수 있다. 
 
자바스크립트를 줄별로 디버그해 내장된 로직을 찾아낼 수 있다. 여기에는 암호해독 알고리즘, 정보 저장소, 권한 관리, 기타 보안 조치를 위한 로직이 포함될 수 있어 악용 가능성이 생긴다. 이런 종류의 약점을 확인하기 위해서는 DOM(Document Object Model)을 분석하고 브라우저 스택(Stack)의 변수를 확인하여 DOM에서 악용이 의심되는 값과 매개변수를 찾아내야 한다.
 
8. ID 또는 프로필 추출
승인된 애플리케이션에서 중요한 매개변수인 사용자의 ID는 세션 또는 다른 형태의 토큰(Token)을 이용해 유지된다. 공격자들이 엉성하게 설계되고 개발된 애플리케이션에서 이런 토큰 매개변수를 찾아내면 악용할 수 있는 시스템 측면의 취약성을 발견할 수 있다. 해당 토큰은 오직 순차적인 숫자 또는 예상 가능한 사용자명만을 사용할 수 있다. 이를 테스트하기 위해서는 프로필을 관리하는 매개변수를 찾아보아야 한다. 만약 토큰을 해독, 추측, 역엔지니어링 할 수 있다면 이미 게임은 끝난 것이다.
 
9. 파일 또는 승인되지 않은 URL 접근 및 비즈니스 정보 추출
비즈니스용 애플리케이션은 내보내기 한 파일과 내보내기 기능 등에 중요한 정보를 포함하고 있다. 사용자들은 자신의 데이터를 선택한 파일 포맷(PDF, XLS, CSV 등)으로 내보내기 하여 다운로드 할 수 있다. 만약 이런 기능을 부주의하게 실행하면 자산이 유출될 수 있다. 
 
이를 테스트하기 위해서는 파일, 문서, 디렉토리 등의 매개변수 이름에 기반하여 요청 기능을 확인해야 하며, 이를 통해 가능성이 있는 승인되지 않은 파일 접근 취약성을 찾아낼 수 있을 것이다. 올바른 테스트는 서버로부터 다른 사용자의 파일을 불러올 수 있는 기본적인 브루트 포스(Brute Force) 또는 추측을 해 보는 것이다.
 
10. 비즈니스 로직의 DoS(Denial of Service)
비즈니스 애플리케이션의 DoS 취약성은 심각한 문제를 초래한다. 왜냐하면 악용될 경우, 애플리케이션이 일정 시간 동안 또는 중요한 시기에 정지될 수 있다. 공격자들은 종종 약점을 찾아내고 DoS 조건에서 악용하려 시도할 수 있다. 애플리케이션 계층에는 네트워킹에서의 TCP 플러딩(TCP Flooding) 같은 일반적인 DoS 공격이 없지만, 종종 애플리케이션 계층에서 이행되는 무제한 루프 때문에 DoS 조건으로 이어질 수 있다. 위협 모델에 대해 애플리케이션을 테스트하고 애플리케이션 계층에서의 방어책을 제공하는 것이 중요하다.
 
NT OBJECTives는 "비즈니스 로직 공격 벡터 Top 10" 보고서에서 맞춤 제작된 웹 애플리케이션의 비즈니스 로직 결함을 찾아내는 것은 단순히 자동화된 스캔 테스트뿐만이 아니라 "인간의 기능"을 이용한 애플리케이션 보안과 로직을 검토하는 것이라고 강조했다.  editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.