기술나눔

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

• 머리말:

오늘날의 디지털 시대에 웹 애플리케이션은 우리에게 다양한 온라인 서비스와 기능을 제공하는 중요한 역할을 합니다. 그러나 이러한 애플리케이션은 민감한 정보 유출, 시스템 마비 및 기타 부정적인 결과를 초래할 수 있는 다양한 잠재적인 보안 위협에 직면하는 경우가 많습니다.

• SQL 주입 취약점

인젝션 공격(Injection Attack) 또는 SQL 인젝션(SQL 인젝션)이라고도 불리는 SQL 인젝션 공격은 웹사이트에 대한 불법적인 통제권을 얻기 위해 널리 사용되는 공격으로, 애플리케이션의 데이터베이스 계층에서 발생하는 보안 취약점이다. 프로그램 설계 시 입력 문자열에 포함된 SQL 명령어의 체크를 무시하고, 데이터베이스가 이를 정상적인 SQL 명령어로 잘못 인식하여 실행함으로써 데이터베이스를 공격에 노출시켜 데이터를 탈취, 변경시킬 수 있다. , 삭제되어 악성코드 삽입, 백도어 프로그램 삽입 등의 피해를 초래하고 있습니다.

일반적으로 SQL 주입 위치는 다음과 같습니다.

1. 주로 POST 요청인 양식 제출에는 GET 요청도 포함됩니다.
2. URL 매개변수 제출, 주로 GET 요청 매개변수.
3. 쿠키 매개변수 제출
4. Referer, User_Agent 등과 같은 HTTP 요청 헤더의 일부 수정 가능한 값;
5. .mp3 파일의 일부 파일 정보 등 일부 가장자리 입력 지점.

일반적인 예방 방법:

• 모든 쿼리 문은 데이터베이스에서 제공하는 매개변수화된 쿼리 인터페이스를 사용합니다. 매개변수화된 문은 사용자 입력 변수를 SQL 문에 포함하는 대신 매개변수를 사용합니다. 현재 거의 모든 데이터베이스 시스템은 매개변수화된 SQL 문 실행 인터페이스를 제공합니다. 이 인터페이스를 사용하면 SQL 주입 공격을 효과적으로 방지할 수 있습니다.
• 데이터베이스에 입력되는 특수 문자('"<>&*; 등)를 이스케이프하거나 인코딩합니다.
• 각 데이터의 유형을 확인하세요. 예를 들어 숫자 데이터는 숫자여야 하며, 데이터베이스의 저장 필드는 int 유형과 일치해야 합니다.
• 데이터 길이를 엄격하게 지정해야 하는데, 이는 상대적으로 긴 SQL 주입 문이 어느 정도 올바르게 실행되는 것을 방해할 수 있습니다.
• 웹사이트의 각 데이터 레이어 인코딩은 통일되어 있습니다. 모든 데이터에 대해 UTF-8 인코딩을 사용하는 것이 좋습니다. 상위 레이어와 하위 레이어의 인코딩이 일치하지 않으면 일부 필터링 모델이 우회될 수 있습니다.
• 웹사이트 사용자의 데이터베이스 작업 권한을 엄격히 제한하고 해당 사용자에게 자신의 작업에 충분한 권한을 제공함으로써 데이터베이스에 대한 주입 공격의 피해를 최소화합니다.
• 유형 오류, 필드 불일치 등과 같은 SQL 오류 메시지가 웹 사이트에 표시되지 않도록 하고 공격자가 판단을 내리기 위해 이러한 오류 메시지를 사용하는 것을 방지합니다.
• 웹사이트가 출시되기 전에 일부 전문적인 SQL 주입 탐지 도구를 사용하여 이러한 SQL 주입 취약점을 적시에 탐지하고 복구하는 것이 좋습니다.

• 크로스 사이트 스크립팅 취약점

크로스 사이트 스크립팅(XSS라고도 함)은 클라이언트 측에서 발생하며 개인 정보 도용, 피싱, 비밀번호 도용, 악성 코드 확산 및 기타 공격에 사용될 수 있습니다.

XSS 공격에 사용되는 기술은 주로 HTML과 VBScript, ActionScript를 포함한 Javascript입니다. XSS 공격은 WEB 서버에 직접적인 해를 끼치지는 않지만, 웹사이트를 통해 확산되어 웹사이트 사용자를 공격하게 하여 웹사이트 사용자 계정을 탈취하여 웹사이트에 심각한 피해를 끼치게 됩니다.

XSS 유형은 다음과 같습니다.

• 비지속적 교차 사이트: 반영된 교차 사이트 스크립팅 취약점은 현재 가장 일반적인 유형의 교차 사이트입니다. 크로스 사이트 코드는 일반적으로 링크에 존재합니다. 이러한 링크를 요청하면 크로스 사이트 코드가 서버를 통해 다시 반영됩니다. 이러한 유형의 크로스 사이트 코드는 서버(예: 데이터베이스)에 저장되지 않습니다. 위 장에 제시된 예는 그러한 상황입니다.
• 지속적인 교차 사이트: 이는 가장 직접적인 유형의 교차 사이트 피해입니다. 교차 사이트 코드는 서버(예: 데이터베이스)에 저장됩니다. 일반적인 상황은 사용자가 포럼에 게시하는 것입니다. 포럼이 사용자가 입력한 Javascript 코드 데이터를 필터링하지 않으면 게시물을 탐색하는 다른 사용자의 브라우저가 게시자에 포함된 Javascript 코드를 실행합니다.
• DOM 크로스 사이트(DOM XSS): 클라이언트 DOM(Document Object Model)에서 발생하는 크로스 사이트 취약점입니다. 주된 이유는 클라이언트 스크립트 처리 로직으로 인한 보안 문제입니다.

일반적으로 사용되는 XSS 방지 기술은 다음과 같습니다.

1. SQL 주입 방지 권장 사항과 마찬가지로 모든 입력이 의심스럽다고 가정하고 모든 입력에 포함된 스크립트, iframe 등의 단어를 엄격하게 검사해야 합니다. 여기서 입력은 사용자가 직접 상호 작용할 수 있는 입력 인터페이스일 뿐만 아니라 HTTP 요청의 쿠키 변수, HTTP 요청 헤더의 변수 등도 포함합니다.
2. 데이터의 종류뿐만 아니라 형식, 길이, 범위, 내용까지 확인하세요.
3. 클라이언트 측에서만 데이터 확인 및 필터링을 수행하지 마십시오. 주요 필터링 단계는 서버 측에서 수행됩니다.
4. 출력 데이터도 확인해야 합니다. 대규모 웹사이트에서는 데이터베이스의 값이 여러 위치에 출력될 수 있습니다. 입력이 인코딩되고 다른 작업이 수행되더라도 모든 위치에서 출력 지점에서 보안 검사를 수행해야 합니다.
5. 애플리케이션을 출시하기 전에 알려진 모든 위협을 테스트하세요.

• 약한 비밀번호 취약점

취약한 비밀번호에 대한 엄격하고 정확한 정의는 없습니다. 다른 사람(당신을 잘 아는 사람)이 쉽게 추측하거나 크래킹 도구로 해독할 수 있는 비밀번호는 일반적으로 취약한 비밀번호로 간주됩니다. 비밀번호 설정은 일반적으로 다음 원칙을 따릅니다.

1. 일반적으로 취약한 비밀번호로 알려진 빈 비밀번호나 시스템 기본 비밀번호를 사용하지 마십시오.
2. 비밀번호 길이는 8자 이상이어야 합니다.
3. 비밀번호는 연속된 문자 시퀀스(예: AAAAAAAA) 또는 반복되는 문자의 조합(예: tzf.tzf.)이어서는 안 됩니다.
4. 비밀번호는 대문자(AZ), 소문자(az), 숫자(0~9), 특수문자 등 4가지 문자를 조합하여 구성해야 합니다. 각 유형의 문자가 하나 이상 포함되어 있습니다. 특정 유형의 문자에 하나만 포함된 경우 해당 문자는 첫 번째 또는 마지막 문자가 아니어야 합니다.
5. 비밀번호에는 이름, 생년월일, 기념일, 로그인 이름, 이메일 주소, 개인, 부모, 자녀 및 배우자와 관련된 기타 정보 및 사전에 있는 단어가 포함되어서는 안 됩니다.
6. 비밀번호는 특정 문자를 대체하는 숫자나 기호가 포함된 단어가 되어서는 안 됩니다.
7. 비밀번호는 기억하기 쉽고 입력이 빨라서 다른 사람이 뒤에서 입력 내용을 쉽게 볼 수 없도록 해야 합니다.
8. 감지되지 않은 침입자가 계속해서 비밀번호를 사용하는 것을 방지하려면 최소한 90일에 한 번씩 비밀번호를 변경하세요.

• HTTP 헤더 추적 취약점

HTTP/1.1(RFC2616) 사양은 클라이언트가 웹 서버에 TRACE 요청을 제출하여 진단 정보를 테스트하거나 얻기 위해 주로 사용하는 HTTP TRACE 메서드를 정의합니다. 웹 서버가 TRACE를 활성화하면 제출된 요청 헤더가 서버 응답의 콘텐츠(본문)로 완전히 반환됩니다. 여기서 HTTP 헤더에는 세션 토큰, 쿠키 또는 기타 인증 정보가 포함될 가능성이 높습니다. 공격자는 이 취약점을 악용하여 합법적인 사용자를 속이고 개인 정보를 얻을 수 있습니다. 이 취약점은 효과적인 공격을 수행하기 위해 다른 방법과 결합되는 경우가 많습니다. HTTP TRACE 요청은 클라이언트 브라우저 스크립트(예: XMLHttpRequest)를 통해 시작될 수 있고 DOM 인터페이스를 통해 액세스할 수 있으므로 공격자가 쉽게 악용할 수 있습니다. HTTP 헤더 추적 취약점을 방어하는 방법은 일반적으로 HTTP TRACE 방법을 비활성화합니다.

• Struts2 원격 명령 실행 취약점

Apache Struts는 Java 웹 애플리케이션 구축을 위한 오픈 소스 프레임워크입니다. Apache Struts에는 변환 오류가 발생하는 경우 임의의 Java 코드를 삽입하고 실행하는 데 악용될 수 있는 입력 필터링 버그가 있습니다.

웹 사이트에 원격 코드 실행 취약점이 있는 대부분의 이유는 웹 사이트가 Apache Struts Xwork를 웹 사이트 애플리케이션 프레임워크로 사용하기 때문입니다. 이 소프트웨어에는 고위험 원격 코드 실행 취약점이 있으므로 웹 사이트는 보안 위험에 직면합니다. CNVD는 "GPS 차량 위성 위치 확인 시스템" 웹사이트의 원격 명령 실행 취약점(CNVD-2012-13934), Aspcms 방명록의 원격 코드 실행 취약점(CNVD-2012-11590)과 같은 많은 취약점을 처리했습니다. , 등.

• 파일 업로드 취약점

파일 업로드 취약점은 일반적으로 웹 페이지 코드에서 파일 업로드 경로 변수의 느슨한 필터링으로 인해 발생합니다. 파일 업로드 기능 구현 코드가 사용자가 업로드하는 파일 접미사 및 파일 유형을 엄격하게 제한하지 않으면 공격자가 액세스 가능한 디렉터리를 통해 모든 파일을 업로드할 수 있습니다. 웹사이트 백도어 파일(webshell)을 포함한 웹을 통해 웹사이트 서버를 원격으로 제어할 수 있습니다.

따라서 웹사이트 및 애플리케이션 개발 시 업로드되는 파일을 엄격하게 제한하고 검증해야 하며, 악성코드가 포함된 파일을 업로드해야 합니다. 동시에, 웹쉘 공격을 방지하기 위해 관련 디렉터리의 실행 권한을 제한합니다.

• 개인 IP 주소 유출 취약점

IP 주소는 네트워크 사용자를 나타내는 중요한 지표이며 공격자가 공격을 시작하기 전에 알아야 할 사항입니다. 이를 획득하는 방법은 다양하며 공격자는 네트워크 상태에 따라 다른 방법을 채택합니다. 예를 들어 LAN에서 Ping 명령을 사용하여 네트워크에서 상대방의 이름을 ping하여 IP 버전을 획득합니다. QQ는 그것을 인터넷에 직접 표시합니다. 가장 효과적인 방법은 상대방의 네트워크 데이터 패킷을 가로채서 분석하는 것입니다. 공격자는 가로채는 데이터 패킷의 IP 헤더 정보를 소프트웨어를 통해 찾아 직접 분석하고, 이 정보를 바탕으로 특정 IP를 학습할 수 있다.

가장 효과적인 "패킷 분석 방법"을 위해 전송된 데이터 패킷의 헤더에 있는 IP 정보를 자동으로 제거할 수 있는 일부 소프트웨어를 설치할 수 있습니다. 그러나 이러한 소프트웨어를 사용하면 다음과 같은 몇 가지 단점이 있습니다. 리소스를 심각하게 소모하고 컴퓨터 성능을 저하시키며 일부 포럼이나 웹사이트에 액세스할 때 영향을 미치게 됩니다. 현재 개인 사용자가 자신의 IP를 숨기는 가장 인기 있는 방법은 프록시를 사용하는 것입니다. 프록시 서버를 사용한 후 "전달 서비스"는 전송된 데이터 패킷을 수정하여 "패킷 분석" 방법을 효과적이지 않게 만듭니다. 사용자 IP를 쉽게 유출하는 일부 네트워크 소프트웨어(QQ, MSN, IE 등)는 프록시 방식을 사용하여 인터넷에 연결하는 것을 지원합니다. 특히 QQ가 "ezProxy"와 같은 프록시 소프트웨어를 사용하여 연결한 후에는 QQ의 IP 버전에서는 연결할 수 없습니다. IP 주소를 표시합니다. 프록시는 사용자의 IP를 효과적으로 숨길 수 있지만, 공격자는 프록시를 우회하여 상대방의 실제 IP 주소를 알아낼 수도 있으며, 사용자가 IP를 숨기기 위해 사용하는 방법도 상황에 따라 다릅니다.

• 암호화되지 않은 로그인 요청

웹 구성은 안전하지 않으며 로그인 요청은 사용자 이름 및 비밀번호와 같은 민감한 필드를 암호화되지 않은 상태로 전송하기 때문에 공격자가 네트워크를 도청하여 이 민감한 정보를 훔칠 수 있습니다. 전송하기 전에 SSH 등 암호화하는 것이 좋습니다.

• 민감한 정보 유출 취약성

SQL 인젝션, XSS, 디렉터리 탐색, 취약한 비밀번호 등으로 인해 민감한 정보가 유출될 수 있으며, 공격자는 취약점을 통해 민감한 정보를 탈취할 수 있습니다.다양한 원인에 따라 다양한 방어 방법이 사용됩니다.

• CSRF

웹 애플리케이션은 B/S 아키텍처를 사용하고 HTTP/HTTPS 프로토콜을 통해 서비스를 제공하는 것을 총칭하는 용어입니다. 인터넷의 광범위한 사용으로 인해 웹 애플리케이션은 온라인 쇼핑, 온라인 뱅킹 애플리케이션, 증권 및 주식 거래, 정부 행정 승인 등 일상 생활의 모든 측면에 통합되었습니다. 이러한 웹 방문에서 대부분의 응용 프로그램은 정적 웹 검색이 아니라 서버 측의 동적 처리를 포함합니다. 이때 자바, PHP, ASP 등 프로그래밍 언어를 사용하는 프로그래머들이 보안 인식이 부족하고 프로그램 매개변수 입력 등을 엄격하게 확인하지 않으면 웹 애플리케이션 보안 문제가 잇달아 발생하게 된다.

그렇다면 위의 취약점을 어떻게 적시에 발견할 수 있을까요?

언급해야취약점 검색 서비스 VSS！！

취약점 스캔 서비스란 무엇인가요?

인터넷의 등장 이후 취약점 공격을 이용한 네트워크 보안사고는 지속적으로 발생하고 있으며 그 심각성은 날로 심각해지고 있다. 전 세계적으로 취약점으로 인한 경제적 손실은 매년 막대하며 해마다 증가하고 있습니다. 취약점은 인터넷을 손상시키는 주요 원인 중 하나가 되었으며 대중의 관심의 대상이 되었습니다.

"VSS(Vulnerability Scan Service)는 웹 사이트의 취약점 검색을 위한 보안 검색 서비스입니다. 현재 일반 취약점 검색, 취약점 수명 주기 관리, 맞춤형 검색 등 다양한 서비스를 제공하고 있습니다. 사용자가 새 작업을 생성한 후 수동으로 검색을 시작할 수 있습니다. 웹사이트 취약점을 탐지하고 취약점 복구 제안을 제공하는 작업입니다.

네트워크 시스템의 보안은 네트워크 시스템의 가장 약한 링크에 따라 달라집니다. 네트워크 시스템의 보안은 동적 프로세스입니다. 가장 효과적인 방법은 네트워크 시스템에 대한 정기적인 보안 분석 및 검사를 수행하여 취약점을 찾아내는 것입니다. 적시에 수정하고 수정하십시오.

• • 취약점 검색 서비스 적용 시나리오:
    1. 온라인 홈페이지/신청 시스템

새로운 웹사이트/응용프로그램 시스템이 온라인화되면, 먼저 웹사이트/응용프로그램 시스템에 대한 보안 평가를 실시하여 온라인 웹사이트/응용프로그램 시스템에 취약점과 위험성이 있는지 평가하고, 이후 웹사이트/응용프로그램 시스템의 보안을 보장해야 합니다. 온라인으로 전환되며, 해킹이나 해킹의 위험을 줄이고 온라인으로 전환된 후 웹사이트/응용 프로그램 시스템의 안전한 작동을 보장합니다.

1. 1. 1. 웹사이트/응용프로그램 시스템 위협 및 공격

새로운 위협과 공격이 계속 증가함에 따라 웹 애플리케이션의 보안은 비즈니스 개발의 지속 가능성에 직접적인 영향을 미칩니다. 웹 사이트/응용 시스템은 종종 공격 및 네트워크 보안 위협에 노출되어 네트워크 정보의 도청, 재전송, 변조 및 서비스 거부 공격을 초래하고 네트워크 행위 거부, 스푸핑, 무단 액세스, 바이러스 전송 및 기타 문제를 초래합니다. . 보안점검은 웹사이트/응용시스템을 종합적으로 점검하는 것으로, 해커의 웹사이트 이용 및 웹사이트 보안에 영향을 미치는 것을 방지하기 위해 전문적인 수리 제안을 제공합니다.

1. 1. 1. 홈페이지/응용시스템 실시간 모니터링

정부, 교육, 금융 및 기타 부서는 실시간으로 웹사이트를 모니터링해야 하며, 취약점이 제때에 수정되지 않으면 정부, 교육 및 기타 부서의 이미지에 심각한 영향을 미치고 기업에 막대한 손실을 초래할 수 있습니다. 홈페이지/어플리케이션 시스템 보안에 대한 실시간 모니터링 및 관리가 필요합니다. 보안 감지는 모니터링 결과를 직관적으로 표시하고, 위험이 발견되는 즉시 경고하며, 웹 페이지 이상 징후를 신속하게 식별하고 경고를 보내 취약점이 악용되어 시스템 보안에 영향을 미치는 것을 방지합니다.

1. 1. 1. 웹사이트/애플리케이션 시스템 및 기타 규정 준수 요구사항

정보 보안 수준 보호는 우리나라의 정보 보안을 위한 기본 시스템으로, 네트워크 운영자가 네트워크 보안 수준 보호 시스템의 요구 사항을 준수하도록 요구합니다. 클래스 A 보증은 클래스 A 보증 준수를 보장하기 위해 웹 사이트/애플리케이션 시스템 운영자가 최소 1년에 두 번 보안 평가를 수행하도록 요구합니다. 안전 테스트는 해당 보험이 필요한 사용자가 안전 평가를 수행하고 해당 보험의 규정 준수 요구 사항을 충족하는 데 도움이 됩니다!

• • 취약점 스캔 서비스에는 일반적으로 무엇이 포함됩니까?
    1. 웹 취약점 스캔

웹사이트의 허점과 약점은 해커가 쉽게 악용하여 공격을 유발하고, 역효과를 가져오고, 경제적 손실을 초래할 수 있습니다.

일반 취약점 스캔：풍부한 취약점 규칙 라이브러리는 다양한 유형의 웹사이트에 대해 포괄적이고 심층적인 취약점 스캔을 수행하고 전문적이고 포괄적인 스캔 보고서를 제공할 수 있습니다.

가장 긴급한 취약점 검색：가장 긴급한 CVE 취약점에 대해서는 보안 전문가가 즉시 취약점을 분석하고 규칙을 업데이트하며 가장 빠르고 전문적인 CVE 취약점 스캐닝을 제공합니다.

1. 1. 1. 약한 비밀번호 스캐닝

호스트나 미들웨어와 같은 자산은 일반적으로 원격 로그인에 비밀번호를 사용하며, 공격자는 스캐닝 기술을 사용하여 사용자 이름과 취약한 비밀번호를 탐지하는 경우가 많습니다.

여러 장면 사용 가능：미들웨어의 90%를 포괄하는 포괄적인 OS 연결로 표준 웹 서비스, 운영 체제, 데이터베이스 등에 대한 취약한 비밀번호 감지를 지원합니다.

취약한 비밀번호의 풍부한 라이브러리：풍부한 취약한 비밀번호 일치 라이브러리는 해커가 다양한 시나리오에서 취약한 비밀번호를 감지하도록 시뮬레이션하고 비밀번호 감지를 위한 사용자 정의 사전을 지원합니다.

1. 1. 1. 미들웨어 스캐닝

미들웨어는 사용자가 복잡한 애플리케이션 소프트웨어를 유연하고 효율적으로 개발하고 통합하는 데 도움을 줄 수 있습니다. 일단 해커가 취약점을 발견하고 악용하면 상위 및 하위 계층의 보안에 영향을 미치게 됩니다.

풍부한 스캔 시나리오：메인스트림 웹 컨테이너, 프런트엔드 개발 프레임워크, 백엔드 마이크로서비스 기술 스택의 버전 취약성 및 구성 규정 준수 검사를 지원합니다.

다양한 스캔 방법 선택 사항：표준 패키지, 맞춤형 설치 등 다양한 방법을 통해 서버 내 미들웨어 및 버전 식별을 지원하고, 서버 내 취약점 위험을 종합적으로 발굴합니다.

1. 1. 1. 콘텐츠 규정 준수 테스트

웹사이트에 규정을 준수하지 않는 표현이 있는 것으로 밝혀지면 회사의 브랜드와 경제에 막대한 손실을 초래하게 됩니다.

정확한 식별：현재 정치적 핫스팟과 여론 사건의 샘플 데이터를 동시에 업데이트하고 다양한 음란물, 폭력 관련, 테러 관련, 정치 관련 및 기타 민감한 콘텐츠를 정확하게 찾아냅니다.

스마트하고 효율적：텍스트 및 이미지 콘텐츠에 대한 상황별 의미 분석을 수행하고 복잡한 텍스트 변형을 지능적으로 식별합니다.

• 요약하다:

일단 취약점이 범죄자에 의해 악용되면 기업은 막대한 손실을 입게 됩니다. 웹사이트의 위험을 사전에 발견하고 적시에 시정 조치를 취한다면 위험과 손실을 줄일 수 있습니다. 따라서 사전 예방 조치인 취약점 검색은 해커 공격을 효과적으로 방지하고 문제를 조기에 차단하는 데 큰 역할을 합니다.

취약점 검색 서비스는 웹사이트 보안 관리가 직면한 과제를 효과적으로 해결할 수 있으며, 보안 검사 작업에 필요한 효율성과 정확성을 더 잘 충족시켜 웹사이트와 애플리케이션의 보안 관리 수준을 향상시킬 수 있습니다.