인증이 필요한 페이지, 관리페이지 등에 인증처리, 세션처리가 로직상 잘못 구현되어 접근이 가능함으로써, 주요 정보가 노출되고, 다른 사용자 게시물 수정/삭제, 정보 수정 가능한 취약점이다.
1.1. 관리자 페이지 접근
공격자가 로그인 페이지를 거치지않고 .jsp 페이지에 접근
1.2. 파라미터값 변조
게시물 강제 수정
게시물 형태의 모든 곳에서 발생 : 자료실, Q&A, 비밀글, 이력서 등
1.3. 애플리케이션 대상 발생 취약점 비율
- Broken authentication : 62%
- Broken access controls : 71%
- SQL injection 32%
- XSS : 94%
- Information leakage : 78%
1.4. 시나리오
1) 다른 사용자 게시물 수정 및 삭제 여부가 가능한가?
A. 해당 페이지에는 개인정보들이 포함되어 있는가?
2) 다른 사용자 개인정보 수정 페이지에 접근 가능한가?
A. 개인정보가 가장 많이 포함된 부분이다. Ex) 이력서 서비스, Q&A 상담글, 1:1 문의 게시물 등도 동일한 프로세스
3) 비밀글(상담글 등) 접근가능 여부 가능한가?
A. 사용자가 비밀글을 체크한 이유는 분명히 있다.
4) 상품 결제 금액 조작여부 가능한가?
5) 가격금액/할인율/쿠폰/카드할인률/배송비 등 조작할 부분은 너무 많다. 금액 조작뿐만 아니라 배송 프로세스까지의 관리적인 문제까지 도출해 낼 수 있는 부분이다.
6) 쿠키 세션 정보를 이용하여 권한 상승 여부 가능한가?
A. 획득한 세션정보로 접근하지 못한 관리자 페이지에 접근이 가능하다. 회원관리/게시판관리 등 관리자 별로 구분이 있을 경우 다양한 접근 시나리오를 구상한다.
7) 인증서 우회를 통한 권한 획득 여부 가능한가?
A. 공인인증서 로그인 과정에서 타인의 정보를 이용하여 우회가 가능하다
8) 다른 사용자의온라인 증명서 발급이 가능한가?
A. 발급페이지 솔루션에 대한 인증 처리를 우회하여 다른 사용자의 개인정보가 포함된 증명서 발급이 가능하다.
1.5. 주문금액조작
- 상품 금액 뿐만 아니라 배송비, 적립금, 할인률 등 조작 가능성 검토
- 업체에 모의해킹 컨설팅 나갈때에는 단독 계적으로 하게 되면 장애사고가 발생할 수 있다. 따라서 두명이상 가야되며 ( 계정2개) 관리자 계정을 요청하여 관리해줘야한다.
- 특히 인증 및 세션 처리 미흡 진단 할 때
n 다른 사용자 게시물(쪽지, 문의, 비밀글 등) 수정 및 삭제 가능
n 다른 사용자 개인정보 열람 가능
n 다른 사용자 주문내역변경(금융권에서는 증권주문 매수/매도, 출금/입금 등)
n 다른 사용자 세션정보를 획득하여 권한 획득
- 만약 고객쪽에서 계정을 주지 않을 경우는?
n 담당자에게 메일로 위험성을 알려야한다. ( 메일로작성하는 이유는 증거를 남기기위해!!)
====================================================================================================
악성코드 wep wpa crack phising mitm 맛집 해킹 hacking web 웹 네트워크 network 학원 해커 크래커 hacker cracker 강아지 dog 고양이 해운대 강남 서면 보쌈 치맥 치킨 맥주 육회 회 포렌식 침해대응 cert 관제 모의해킹 mobile 모바일 무선 wireless 디지털포렌식 Clanguage C언어 C# JSP JAVA tool 해킹방어대회 ctf 문제풀이 기타 맛집 해킹 hacking web 웹 네트워크 network 학원 해커 크래커 hacker cracker 강아지 dog 고양이 해운대 강남 서면 보쌈 치맥 치킨 맥주 육회 회 포렌식 침해대응 cert 관제 모의해킹 mobile 모바일 무선 wireless wep wpa crack phising mitm 디지털포렌식 악성코드 Clanguage C언어 C# JSP JAVA tool 해킹방어대회 ctf 문제풀이 기타
====================================================================================================
'정보보안 > Web Hacking & Security' 카테고리의 다른 글
web hacking - 보안장비운영 (0) | 2014.09.19 |
---|---|
KISA 입찰공고 활용 (0) | 2014.09.17 |
web hacking - 모의해커와 범죄자 ( 크래커 ) 차이 (0) | 2014.09.17 |
web hacking - 모의해킹을 왜하는것일까? (0) | 2014.09.17 |
Web Haking - 모의침투란 무엇인가? (0) | 2014.09.17 |