on
[정보보안기사] 87강. 웹 어플리케이션 취약점 07 | 정보누출
[정보보안기사] 87강. 웹 어플리케이션 취약점 07 | 정보누출
10. 약한 문자열 강도 취약점
1. 개요
웹 어플리케이션에서 회원가입 시 안전한 패스워드 규칙이 적용되지 않아 취약한 패스워드로 회원가입이 가능할 경우 공격자가 추측을 통한 대입 및 주변 정볼르 수집하여 작성한 사전 파일을 통한 대입을 시도하여 사용자의 패스워드를 추출할 수 있는 취약점을 말한다.
2. 취약점 판단 기준
패스워드 크래킹 툴을 사용하여 취약한 패스워드 사용 유무를 점검
3. 대응책
비밀번호 설정 시 영문자, 숫자, 특수문자를 조합하여 설정하도록 한다.
아래와 같은 사항들을 주기적으로 점검하여 사용자가 취약한 패스워드를 사용하지 않도록 안내한다. admin, master 등 유추하기 쉬운 계정 이름 선택 금지 간단한 문자나 숫자의 연속사용 금지 키보드 사에서 일련화된 배열을 따르는 패스워드 선택 금지 사전에 있는 단어, 이를 거꾸로 철자화한 단어 또는 숫자 하나를 더한 단어 사용 금지 생일, 전화번호, 개인정보 및 아이디와 비슷한 추측하기 쉬운 비밀번호 금지 패스워드를 주기적으로 변경, 최소 사용기간 및 최대 사용기간을 설정
11. 정보누출 취약점
1. 개요
웹 어플리케이션의 민감한 정보가 개발자의 부주의로 인해 노출되는 것으로, 에러 페이지 또는 에러 메시지를 통해 불필요한 정보가 노출되는 취약점
정보누출은 자체만으로 피해가 크기 않지만 공격자가 공격하기 전에 사전 정보를 수집하는 과정에서 공격의 실마리를 제공해주는 역할을 하기 때문에 불필요한 정보가 노출되지 않도록 적절한 보안 설정을 해야한다.
2. 실습
1) 취약한 사이트 실습
① 디폴트 에러 페이지에 의한 웹서버 정보 노출(서버단)
➜ HTTP 오류에 대한 웹서버에 디폴트로 설정된 에러 페이지를 그대로 사용할 경우 웹서버 정보가 노출되는 것을 확인할 수 있다.
② 에러 메시지에 의한 웹서버 정보 노출
➜ 프로그램 실행 중 발생하는 에러나 Warning 메시지르 그대로 출력할 경우 내부 파일 구조와 시스템 정보가 그대로 누출되는 취약점이 발생한다.
2) 안전한 사이트 실습
① 웹서버 환경설정 파일(httpd.conf)을 통해 사용자 정의 에러 페이지 설정
➜ ErrorDocument 지시자를 이용하여 각 에러코드별로 에러 페이지를 생성하여 등록한다.
② PHP 환경의 설정파일(php.ini)을 통한 에러 메시지 차단
➜ PHP 개발 시 php.ini 파일의 display_errors값을 Off로 설정하면 에러 메시지를 출력하지 않음
from http://cho2cee.tistory.com/140 by ccl(A) rewrite - 2021-11-24 08:01:18