-----------------------------------------------------
*점검기준
< 한국 인터넷 진흥원 >
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드 기술안내서 가이드 상세보기 제목 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 담당자 융합기반보호팀 주성준 전화 061-820-1671 이메일 등록일 2021-04-28 조
www.kisa.or.kr
- 금취분평(예를들어 대학사이트 경우 전자금융 제외)
평가항목 WEB만(51개)
> 취약점 찾고 항목에 매칭시켜 보고함.
//금융
*[전자 금융] 거래 인증수단 검증
: 지식기반(비밀) vs 소지기반(OTP)
*[전자 금융] 거래정보 무결성 검증
: 이체, 송금
사전 거래 / 본거래
100원 / 10000거래 사전거래와 본거래 정보를 비교하는 것. 변조 취약점.
수수료변조, 쿠폰 가짜 등록
*[전자 금융] 거래 정보 재사용
repeater CSRF토큰처럼해야하는데 재사용이 가능한지?
*[전자 금융] 소유주확인
*[전자 금융]사전에 정한 조회 기간 이상으로 거래 내역 조회 가능 여부
쇼핑몰 주문내역 [3개월] [9개월] 이 이상으로 조회 되는지
버프스윗으로 날짜 파라미터 변조 가능한지
* [전자 금융] 거래 시 비밀번호 오류횟수 제한기능 제공
10번 20번 오류하고도 로그인 정상이면 안됨. 무작위 공격을 할수도 있어서.
*비밀번호 변경 시 본인확인 절차 실시
CSRF 위험, Session 탈취 될 경우.
*[전자 금융] 이전 비밀번호 재사용 경우
*[전자 금융] 이용자 입력 정보 보호 -> E2E
//
*SQL injection
*악성 파일 업로드
*부적절한 이용자 인가
: 권한 이용자아닌데 가능한거,
XXXXXX<옵션임>XXXXXX
*이용자 인증 정보 재사용: 세션 아이디, JWT
-> 세션 아이디 (ex 중복 로그인)
HOW? 보통 이렇게 이야기는 함
(1) IP 주소 검증: IP주소 저장 후 그 후 비교
데이터 핸드폰으로 로그인하고 그 세션 컴퓨터로 활용 로그인--> IP 다른
But 보통 세션탈취는 같은 네트워크 내 카페 등임.
(2) MAC 주소 검증
Program 연동해야하는데 비싸고 번거로움
*고정된 인증정보 이용
-세션 ID, JWT
로그아웃 후 재로그인해도 세션아이디 동일하면 이 취약점.
세션아이디 탈취시 문제가 생김.
XXXX로그인 전 쿠키 복사, 로그인 후 쿠키 복사 (세션아이디)XXXX(구현 불가)
>> 세션 고정 공격
PHPSESSION: ABC
원래 피해자가 쿠키물고 로그인요청하게 자바 크사 공격함> 근데 지금은 안됨.
*유추가능한 인증정보 (옵션) XXXXX
비밀번호 너무 쉽게하면
*유추가능한 초기화 비밀번호 이용
-> 비밀번호 초기화
*초기화된 비밀번호는 생년월일입니다. 등의 설정
*파일 다운로드
*외부 사이트에 의한 시스템 운영정보 노출 여부
>툴 inurl: [URL] admin
(GEEGLE) inurl , filetype 등으로 관리자 계정정보 서치 가능할수있음
*유추가능한 세션ID
*쿠키변조
*운영체제 명령실행
Command Injection
IP: 8.8.8.8; ~~~
<?
system("ping" + $_GET['ip'])
*XML 외부 객체 공격(따로 수업)
*리다이렉트 기능을 이용한 피싱 공격
로그인 페이지
param
id=nomaltic&retUrl =/main.php
func=login&retUrl = ~~
다른 외부 사이트로
SSRF공격이나 피싱공격 가능
*LDAP, SSI 따로 수업
*자동화 공격
패킷 파이썬 10000000000 자동화 공격 가능할수있음
CSRF토큰이나 중복방지로 방지가능
* 버퍼오버플로우(BOF), 포맷스트링
-> 이거 테스트하려면 메모리 분석. 권한이 있어야해서 모의해킹 불가.
*단말기 브라우저 영역 내에서의 중요 정보 노출
사이트 개인정보 010-12**-****
이런거 아니고 평문으로 되어있거나, 버프스윗 응답값엔 평문일시
*데이터 평문 전송
HTTPS를 안쓸 때, 주의 요함
와이어샤크 띄우고 지금 통신하고 있는 어댑터 눌러서 HTTP검색.
그 상태에서 사이트 로그인시 패킷이 나옴.
우클릭 팔로우 HTTP 스크림. ID&PW 노출 화면 띄워서 캡처해야함.
-- 네트워크 상에서 중요정보가 노출됨.
버프스윗에서 보여주는건 다 풀어서 보여줘서 의미가 없음.
와이어 샤크로 해야함.
>>다음시간 CSRF부터
--------------------------------------------------------------
**모의 해킹 TIP
1. 서비스 분석
-어떤 기능들이 있는지
2. 공격 가능한 시나리오
리스트를 세움. 다른사람의 계정 정보를 보고싶어 -- 등
3. 보고서를 위해 금취분평 매핑
4. 내가 빠뜨린 위험 항목들 체크
'Web hacking > Nomaltic) 웹 해킹 수업 노트 👩💻' 카테고리의 다른 글
| [실습] 쿠폰 중복 적용 취약점 (0) | 2022.01.14 |
|---|---|
| [실습]유추 가능한 인증정보 이용 취약점 (0) | 2022.01.14 |
| SQL injection 실습(보고서 작성) (0) | 2022.01.13 |
| [11주차] 인증/인가 취약점 수업 필기 (0) | 2021.12.23 |
| [10주차] LFI, RFI/ 파일업로드 공격 대응방안/ 파일 다운로드 취약점 (1) | 2021.12.22 |
