소개글

파이썬으로 구현한 웹서비스 모의해킹 결과보고서입니다.
결과보고서 내용은 실무에서 사용가능한 문법 및 실습위주로 작성되었으며,
악의적으로 사용하지 마시길 부탁드립니다.

목차

1.개요
1.1.목적
1.2.수행 대상
1.2.1.진단 실습 대상 소개
1.3.수행 인력
1.4.수행 항목
1.4.1.웹 서비스 진단 항목
1.4.2.웹 서비스 진단 도구
1.5.취약점 진단 기준
1.5.1.위험도
1.5.2.진단 결과

2.총평

3.상세결과
3.1.웹 어플리케이션
3.1.1.결과 요약
3.1.2.상세 결과

4.대응방안
4.1.웹 어플리케이션 대응방안
4.1.1.SQL Injection
4.1.2.취약한 인증 및 세션 관리
4.1.3.크로스 사이트 스크립트(XSS)
4.1.4.취약한 직접 객체 참조
4.1.5.보안 설정 오류
4.1.6.민감 데이터 노출
4.1.7.기능 수준 접근 통제 누락
4.1.8.크로스 사이트 요청 변조(CSRF)
4.1.9.알려진 취약점이 있는 컴포넌트 사용
4.1.10.검증되지 않은 리다이렉트 및 포워드

본문내용

1. 개요
1.1. 목적
OWASP TOP 10 (2013)기준으로 웹 어플리케이션 서비스를 진단 및 실습하고, 각 진단 파트별로 개념 이해와 보안 대응방안 사고를 돕도록 하기 위함.

[표 1] OWASP TOP 10 기본 개념
OWASP TOP 10 란?
오픈소스 웹 어플리케이션 보안 프로젝트이며, 웹 그리고 악성파일 보안취약점 등을 연구하며, 상위 10개의 취약점을 4년마다 발표한다.

1.2. 수행 대상
웹 어플리케이션 서비스 취약점 진단 수행 대상은 다음과 같음
[표 2] 진단 실습 대상

실습 환경 OS는 Ubuntu 16.04.5 LTS이며, 서버는 Werkzeug 0.14.1의 Python 2.7.12 를 사용했다.

1.2.1. 진단 실습 대상 소개
[그림 1] Namki 웹사이트
※ Namki 웹사이트는 Flask 프레임워크 기반의 Web보안 프로젝트로 자체 제작한 웹사이트입니다.
주요 기능으로는 소개페이지, 게시판(추가, 수정, 삭제), 댓글, 개인정보수정, 관리 페이지, 채팅 등이 있습니다.

<중 략>

2. 총평
웹 서비스 진단 결과 총 7개의 취약점이 도출되었다. 불충분한 인증 및 세션관리, 접근제어, 잘못된 보안 구성, 정보누출에 대한 취약점을 가지고 있으며, 발견된 취약점에 대한 설명은 다음과 같다.

1. SQL Injection
로그인 및 게시판에 클라이언트에서 서버로 보낸 문자열이 SQL 쿼리로 동작하는 것을 확인했다.
로그인은 인증 우회 가능한 취약점이 존재하며, 게시판은 Blind, Union SQL Injection을 이용한 데이터를 유출 가능한 취약점을 확인했다.

2. 인증 및 세션 관리
패스워드 사전파일을 이용한 공격으로 사용자의 개인정보를 획득가능한 취약점이 존재하며, 세션으로 사용자 권한 획득 및 개인정보가 유출되는 취약점을 확인했다.

참고 자료

없음