재민스 정보보안창고

가. 취약점 개요 ■ 내용 : 세션의 만료 기간 설정 여부 점검 ■ 목적 : 세션 타임아웃 기능을 구현하여 공격자가 만료되지 않은 세션 활용을 방지하기 위함 ■ 보안 위협 - 세션의 만료 기간을 정하지 않거나, 만료기한을 너무 길게 설정된 경우 악의적인 사용자가 만료되지 않은 세션을 활용하여 불법적인 접근이 가능할 수 있음 ■ 참고 ※ 소스코드 및 취약점 점검 필요 나. 점검방법 ■ 대상 : 웹 애플리케이션 소스코드, 웹 서버 ■ 판단기준 - 양호 : 세션 종료 시간이 설정되어 있는 경우 - 취약 : 세션 종료 시간이 설정되어 있지 않아 세션 재사용이 가능한 경우 ■ 점검방법 Step 1) 인증 후 정상적으로 세션이 발행된 페이지의 리퀘스트를 취득하여 일정 시간 (사이트에 따라 다름)이 지난 후에 재전송..

가. 취약점 개요 ■ 내용 : 민감한 데이터 또는 기능에 접근 및 수정 시 통제 여부 점검 ■ 목적 : 접근 권한에 대한 검증 로직을 구현하여 비인가자의 악의적인 접근을 차단하기 위함 ■ 보안 위협 - 접근제어가 필요한 중요 페이지의 통제수단이 미흡한 경우, 비인가자가 URL 파라미터 값 변경 등의 방법으로 중요 페이지에 접근하여 민감한 정보 열람 및 변조 가능함 ■ 참고 ※ 소스코드 및 취약점 점검 필요 나. 점검방법 ■ 대상 : 웹 애플리케이션 소스코드 ■ 판단기준 - 양호 : 접근제어가 필요한 중요 페이지의 통제수단이 적절하여 비인가자의 접근이 불가능한 경우 - 취약 : 접근제어가 필요한 중요 페이지의 통제수단이 미흡하여 비인가자의 접근이 가능한 경우 ■ 점검방법 Step 1) 비밀 게시글(또는 개..

가. 취약점 개요 ■ 내용 : 단순한 방법(연속된 숫자 할당 등)으로 생성되는 세션 ID를 예측하여 세션 탈취 여부 점검 ■ 목적 : 사용자의 세션ID를 추측 불가능하도록 난수로 생성하여 공격자의 불법적인 접근을 차단하기 위함 ■ 보안 위협 - 사용자에게 전달하는 세션 ID가 일정한 패턴을 가지고 있는 경우 공격자가 세션 ID를 추측하여 불법적인 접근을 시도할 수 있음 ■ 참고 ※ 세션(Session): 일정 시간 동안 같은 사용자(브라우저)로 부터 들어오는 일련의 요구를 하나의 상태로 보고 그 상태를 일정하게 유지시키는 기술 ※ 소스코드 및 취약점 점검 필요 나. 점검방법 ■ 대상 : 웹 애플리케이션 소스코드 ■ 판단기준 - 양호 : 추측 불가능한 세션 ID가 발급되는 경우 - 취약 : 세션 ID가 일..

가. 취약점 개요 ■ 내용 : 사용자의 신뢰(인증) 정보의 변조 여부 점검 ■ 목적 : 사용자 입력 값에 대한 적절한 필터링 및 인증에 대한 유효성을 검증하여 신뢰(인증) 정보 내의 요청(Request)에 대한 변조 방지 ■ 보안 위협 - 사용자의 신뢰(인증) 정보 내에서 사용자의 요청(Request)을 변조함으로써 해당 사용자의 권한으로 악의적인 공격을 수행할 수 있음 ■ 참고 ※ CSRF(Cross Site Request Forgery): 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹 사이트에 요청하게 하는 공격 유형 ※ OWASP - CSRF 관련 참고사항 https://owasp.org/www-community/attacks/csrf ※ 소스코드 및 취..

가. 취약점 개요 ■ 내용 : 웹 사이트 내 패스워드 복구 절차의 적절성 점검 ■ 목적 : 패스워드 복구 로직을 유추하기 어렵게 구현하고, 인증된 사용자 메일이나 SMS에서만 복구 패스워드를 확인할 수 있도록 하여 비인가자를 통한 사용자 패스워드 획득 및 변경을 방지하기 위함 ■ 보안 위협 - 취약한 패스워드 복구 로직(패스워드 찾기 등)으로 인하여 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경할 수 있음 ■ 참고 ※ 소스코드 및 취약점 점검 필요 나. 점검방법 ■ 대상 : 웹 애플리케이션 소스코드 ■ 판단기준 - 양호 : 패스워드 재설정 시 난수를 이용하여 재설정되고 인증된 사용자 메일이나 SMS로 재설정된 패스워드 혹은 패스워드 재설정을 위한 링크 전송 시 - 취약 : 패스워드 재설정 시 ..

가. 취약점 개요 ■ 내용 : 중요 페이지 접근 시 추가 인증 요구 여부 점검 ■ 목적 : 중요 페이지에 추가 인증으로 접근을 강화하여 불필요한 정보의 노출 및 변조를 차단하기 위함 ■ 보안 위협 - 중요정보(개인정보 변경 등) 페이지에 대한 인증 절차가 불충분할 경우 권한이 없는 사용자가 중요정보 페이지에 접근하여 정보를 유출하거나 변조할 수 있으므로 중요정보 페이지에는 추가적인 인증 절차를 구현하여야 함 ■ 참고 ※ 소스코드 및 취약점 점검 필요 나. 점검방법 ■ 대상 : 웹 애플리케이션 소스코드 ■ 판단기준 - 양호 : 중요정보 페이지 접근 시 추가 인증을 하는 경우 - 취약 : 중요정보 페이지 접근에 대한 추가 인증을 하지 않는 경우 ■ 점검방법 Step 1) 중요정보(개인정보 변경 등) 페이지 ..

가. 취약점 개요 ■ 내용 : 웹페이지 내 로그인 폼 등에 약한 강도의 문자열 사용 여부 점검 ■ 목적 : 유추 가능한 취약한 문자열 사용을 제한하여 계정 및 패스워드 추측 공격을 방지하기 위함 ■ 보안 위협 - 해당 취약점 존재 시 유추가 용이한 계정 및 패스워드의 사용으로 인한 사용자 권한 탈취 위험이 존재하며, 해당 위험을 방지하기 위해 값의 적절성 및 복잡성을 검증하는 로직을 구현하여야 함 ■ 참고 ※ 약한 문자열 강도 취약점: 웹 사이트에서 취약한 패스워드로 회원가입이 가능할 경우 공격자는 추측 및 주변 정보를 수집하여 작성한 사전 파일로 대입을 시도하여 사용자 계정을 탈취할 수 있는 취약점 ※ 소스코드 및 취약점 점검 필요 나. 점검방법 ■ 대상 : 웹 애플리케이션 소스코드 ■ 판단기준 - 양..

가. 취약점 개요 ■ 내용 : 웹 사이트 내 크로스사이트 스크립팅 취약점 존재 여부 점검 ■ 목적 : 웹 사이트 내 크로스사이트 스크립팅 취약점을 제거하여 악성 스크립트의 실행을 차단 ■ 보안 위협 - 웹 애플리케이션에서 사용자 입력 값에 대한 필터링이 제대로 이루어지지 않을 경우, 공격자는 사용자 입력 값을 받는 게시판, URL 등에 악의적인 스크립트(Javascript, VBScript, ActiveX, Flash 등)를 삽입하여 게시글이나 이메일을 읽는 사용자의 쿠키(세션)를 탈취하여 도용하거나 악성코드 유포 사이트로 Redirect 할 수 있음 ■ 참고 ※ 크로스사이트 스크립팅: 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법으로 공격 방식은 크게 stored 공격 방식과 reflect..

가. 취약점 개요 ■ 내용 : 게시판 등에 악성 콘텐츠 삽입 및 실행 여부 점검 ■ 목적 : 사이트 내 악의적인 콘텐츠 삽입 및 실행을 방지하기 위함 ■ 보안 위협 - 웹 사이트 게시판, 댓글, 자료실 등에 정상적인 콘텐츠 대신 악성 콘텐츠를 주입하여 실행될 경우 사용자가 해당 콘텐츠 열람 시 악성코드 감염 및 웹 페이지 변조 등 보안상 심각한 위험에 노출될 수 있음 ■ 참고 ※ 기반시설 특성상 원칙적으로 업로드 기능을 제한해야 하나 꼭 사용해야 하는 경우 특정 사용자만 허용된 확장자의 콘텐츠 파일을 업로드 할 수 있게 구현 필요 ※ 관련 점검 항목 : XS(상), FU(상) ※ 소스코드 및 취약점 점검 필요 나. 점검방법 ■ 대상 : 웹 애플리케이션 소스코드, 웹 방화벽 ■ 판단기준 - 양호 : 악의적..

가. 취약점 개요 ■ 내용 : 웹 서비스 시 불필요한 정보가 노출되는지 여부 점검 ■ 목적 : 웹 서비스 시 불필요한 정보가 노출되는 것을 방지함으로써 2차 공격에 활용될 수 있는 정보 노출을 차단하기 위함 ■ 보안 위협 - 웹 사이트에 중요정보(개인정보, 계정정보, 금융정보 등)가 노출되거나 에러 발생 시 과도한 정보(애플리케이션 정보, DB 정보, 웹 서버 구성 정보, 개발 과정의 코멘트 등)가 노출될 경우 공격자들의 2차 공격을 위한 정보로 활용될 수 있음 ■ 참고 ※ 소스코드 및 취약점 점검 필요 나. 점검방법 ■ 대상 : 웹 애플리케이션 소스코드, 웹 서버 ■ 판단기준 - 양호 : 웹 사이트에 중요정보가 노출되지 않고, 에러 발생 시 과도한 정보가 노출되지 않는 경우 - 취약 : 웹 사이트에 중..