오답노트 및 메모 ~308

웹보안

 

293.
이전 세션에 연결을 재개하기 위해 클라이언트가 서버에 보내는 SSL 메세지
=> ClientHello

 

+ HelloRequest -> ClientHello -> ServerHello -> 서버 : Certificate, Server KeyExchange, Certificate request, ServerHelloDone -> 클라이언트 : Certificate, Client KeyExchange, CertificateVerify -> change cipher spec -> finish

 

294.
SSL 프로토콜 협상단계 핸드쉐이크 중 ClientHello 메시지 구성
- 클라이언트 SSL 버전 정보
- 압축 방법
- 암호화 방법
- 32비트 난수
- 세션 ID

 

+ certificate 단계에서 인증서 교환

 

295.
SSL
- 웹 브라우저와 웹 서버 사이에서 메시지 무결성과 기밀성 제공 (Record 프로토콜)
- 웹 서버 인증 기능 제공
- 암호 알고리즘은 다양하며 서버-클라이언트 사이 협상에 의해 정해진다
- 클라이언트 인증은 선택사항

 

296.
Handshake 레이어에서 클라이언트와 서버가 주고받는 전송순서
1) Client Hello
2) Server Hello
3) Server Hello Done
4) ClientKey Exchange

297.
Handshake 과정
1) 3-way-handshake 연결
2) Client Hello
3) Server Hello
4) 클라이언트가 임의의 pre-master secret 생성, 서버가 보낸 인증서에 포함된 공개키로 암호화
5) 서버는 복호화하여 pre-master secret를 사용해 master secret 생성

* TCP 연결이 이루어진 후라는 전제하이므로, 3-way-handshake가 제일 첫 번째 순서.

 

+
pre-master secret
=> master secret
1) session key 생성
2) master secret를 확장시켜 4개의 key와 초기 벡터 2개를 유도함

 

298.
SSL/TLS
- SHA-1 인증서는 보안에 취약하므로 SHA-2로 변환하여야 한다
- TLS_RSA_WITH_RC4_128_SHA나 TLS_RSA_WITH_RC4_128_MD5 는 보안에 취약하여 사용X
- SSLv2 ~ 3은 보안상 사용X, 최소 TLS v1.1 이상을 사용해야 한다

+ BEAST(쿠키 탈취), CRIME(세션 탈취) 기능 : 해킹 기법

+ 하트블리드, POODLE(TLS 통신차단, 강제로 SSL 통신 사용하게 함), FREAK(다운그레이드), SSL Striping(https -> http 강제 통신)

 

299.
HTTPS 사용시 암호화되는 요소
- 요청된 URL 주소, 본문 내용, HTTP 헤더, 쿠키 정보, 사용자 웹 브라우저 정보

 

300.
SQL Injection
- 공격자가 입력값을 조작하여 원하는 sql 구문 실행
- 부적절한 입력값을 전달해 에러를 발생시켜 sql 구문을 확인하고 이에 대한 취약점을 공격 (에러 베이스 sql injection)
- 잠재적 sql 구문의 구조를 확인한 후 db 변경, 삭제, 조회 등 공격

+ XSS : 게시물에 악성코드를 삽입하여 실행되도록 한 후 클라이언트 정보를 유출하는 공격 기법

 

301.
SQL Injection 대책
- db 접근권한 최소화
- 사용자 입력값 및 서버로 전송되는 파라미터 검증
- 데이터베이스 쿼리문에 사용되는 문자열 검증

- 에러 페이지에 대한 오류정보 노출 확인, 최소화

- 데이터베이스 내장 프로시저 사용

 

302.
Blind sql Injection
- content 기반 또는 time 기반 쿼리 결과의 참, 거짓형태를 가지고 데이터 베이스 정보를 판단하는 형태

 

303.
XSS 공격
- <script> 태그
- 게시판
- 사용자 정보 탈취

- 동적 웹페이지
- 검증되지 않은 외부 입력
- 접속자의 권한으로 부적절한 스크립트 수행

 

304.
XSS
- 사용자 입력값에 특수문자나 HTML 태그 사용 금지
- <script>alert('test')</script> 등으로 취약성 확인 가능
- 저장 XSS(서버에 악성스크립트 영구저장), 반사 XSS(리다이렉트), DOM Based XSS (DOM 객체 제어)등이 있다

 

305.
업로드 폴더 권한
- 필요 없는 권한 : 실행, 디렉터리 리스팅
- 필요한 권한 : 읽기, 쓰기

 

+ 파일 업로드 취약점 : 규제되지 않을 경우 웹쉘 실행으로 관리자 권한 탈취 가능

 

306.
크로스사이트 요청위조CSRF
- 입력화면 폼 작성시 GET 방식보다 POST 방식을 사용
- 입력폼과 해당 입력을 처리하는 프로그램 사이에 토큰을 사용하여 공격자의 직접적 URL 사용이 동작하지 않도록 함
- 중요한 기능에 대해서는 사용자 세션 검증과 더불어 재인증 유도

 

307.
보안 솔루션
- 웹 방화벽WAF : 응용 프로그램이나 서비스의 입력, 출력 및 액세스를 제어하는 방화벽의 한 형태
- MDM: 스마트폰, 태블릿, 노트북 등 모바일 장치를 관리하는 솔루션 기술
- IPS: 네트워크 또는 시스템의 악의적 활동을 식별하고, 이 활동에 대한 정보를 기록 및 보고하며 탐지된 침입을 적극적으로 차단

 

+ MAM : 모바일 앱 관리

 

308.
웹방화벽 기능 : 요청 패킷 탐지
- URL 단위 탐지 기능
- GET이나 POST 메소드 속성 검사 기능
- 파일 업로드 탐지 기능

+ 웹 서버 오류 메시지 검사는 응답 메시지 검사 기능