[2025.05.16] 뭉게뭉게_4주차 활동

4주차에는 인프런 강의 <AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안> 섹션 7, 8(일부)을 공부했다.

https://inf.run/5quxH

AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안 강의 | 보안프로젝트 - 인프런

 

<취약점 분석 이해>

1. 인프라별 진단 ( 서버, 네트워크, 데이터베이스, WAS, 컨테이너 환경 등 )

2. 웹 애플리케이션 취약점 진단 

3. 모바일 서비스 취약점 진단

4. API 서비스 취약점 진단 

5. 애플리케이션 소스코드 진단 ( 시큐어코딩 )

 

 

<해외 모의해킹 방법론>

Penetration Testing Framework

   - 침투 테스트 프레임워크로 매우 포괄적인 실전 침투 테스트 가이드를 제공

   - 또한 각 테스트 범주에서 사용하는 도구들의 사용법을 나열

OSSTMM. Open Source Security Methodology Manual

   - 안전한 시스템 운영을 위해 검증된 사실로부터 결과를 도출하기 위 한 표준 테스트 방법론을 제공

   - 정보와 데이터 제어 평가 , 사내 직원의 보안 수준 평가 , 사기와 같은 사회 공학 기법 평가 , 컴퓨터와 원격 통신 네트워크 , 무선 및 휴대 장치 평가 , 물리적 접근 제어 및 보안 절차 평가

PTES. Penetration Testing Execution Standard

   - 단계별로 모의해킹을 정의하고 평가할 수 있는 표준안을 제공

   - 기술적인 가이드라인과 함께 표준 침투 테스트 실행 방법을 제공

   - 각 단계별로 7 가지 카테고리로 침투 테스트 절차를 정의

ISSAF. Information Systems Security Assessment Framework

   - 정보 시스템 보안 평가 프레임워크로 침투 테스트 기술 지침을 제공

PCI. Penetration Testing Guide

   - 지불 카드 산업 데이터 표준 요구 사항에 대한 침투 테스트 기법을 정의(PCI DSS Penetration Testing guidance, PCI DSS Penetration Testing Requirements)

NIST 800-115. National Institute of Standards Technology

   - 기술적인 보안 평가를 수행할 때의 가이드라인이 기술

   - 정보 보안 평가를 수행할 때 사용해야 할 기술과 방법론들을 제공

 

PTES, Penetration Testing Execution Standard 

   1. 사전 계약 : 고객과 함께 향후 어떤 방식과 수준으로 모의해킹을 수행할지 협상하는 단계 

   2. 정보 수집 : 해당 기업이나 진단 대상에 대한 정보를 수집하고 파악하는 단계

   3. 위협 모델링 : 정보 수집 단계에서 파악한 정보를 토대로 시스템에 존재하는 취약점 을식별하는 단계

   4. 취약점 분석 : 식별한 취약점 중 실제 대상에 실행 가능한 공격이 무엇인지 파악하는 단계

   5. 침투 : 실제 침투 테스트를 수행하는 단계로 침투 정확도를 높이기 보다는 빈틈 자체 를찾는 것에 집중

   6. 포스트 익스플로잇 : 여러 시스템을 감염시킨 상황에서 다양한 정보를 수집하고 그 중에서 실질적으로 활용 가능한 정보를 확인

   7. 보고서 : 가장 중요한 부분 중 하나로 일반적인 해킹의 경우 굳이 이런 지루한 작업 을수행할 필요가 없지만 모의해킹이란 해당 기업과 계약을 통해 맺어진 관계로 공 격자 관점에서 진단 대상에 대한 문제를 서술하고 대응 방안을 제시해주는 단계

 

 

 

< 국내 및 국외에서 사용하는 웹 취약점 체크리스트 진단 가이드 >

   1. OWASP Testing Guid v4

      - OAWSP 에서 국제적으로 웹 취약점 진단 가이드의 표준이라고 볼 수 있음

   2. 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드

      - 한국 인터넷 진흥원에서 발행한 가이드로 주요정보통신기반시설 담당자들의 기술 적인 보안 점검의 어려움을 해결하기 위해 만들어졌으며 , 각 점검 방법 및 조치 방법 에대한 상세 설명을 첨부하여 이해를 돕고 , 특정 벤더사의 제품에 한정하지 않고 대표적인 벤더사의 제품별로 구분하여 보안 진단 방법을 제시함

   3. 전자정부 SW 개발 운영자를 위한 소프트웨어 개발 보안 가이드

      - 행정안전부와 한국인터넷진흥원에서 발행한 가이드로 2009 년부터 관련 연구를 진 행하면서 , 안전한 SW 를 개발하기 위한 SW 개발 생명주기의 각 단계별로 요구되는 보안 활동을 수행함으로써 안전한 소프트웨어를 만드는 것에 그 목적이 있음

 

 

< OWASP TOP 10 웹 애플리케이션 취약점 기준 >

2017년 기준

1. 인젝션

2. 인증 및 세션 관리 취약점

3. 크로스 사이트 스크립팅

4. 취약한 접근 제어 

5.보안 설정 오류

6. 민감 데이터 노출

7. 공격 방어 취약점

8. 크로스사이트 요청 변조

9. 알려진 취약점 있는 컴포넌트 사용

10. 취약한 API

 

2021년 기준

 

1. 취약한 접근 제어 : 권한 / 인가

   - 예시

      - 특정 사용자에게만 부여해야 하는 권한을 기본적으로 모든 사용자에 부여하는 경우

      - 인증되지 않은 사용자가 인증이 필요한 페이지를 강제로 탐색할 수 있는 경우

      - 사용자로 로그인해 관리자 권한으로 활동할 수 있는 경우

      - POST, PUT, DELETE API 요청에 대한 접근 제어가 누락된 경우

      - 파라미터나 쿠키 등의 요청을 조작해 권한 상승 혹은 타 사용자의 권한을 사용 할수 있는 경우

2. 암호화 실패

  - 예시

     - 내 · 외부망에 관계없이 데이터가 전송구간에서 평문으로 전송되는 경우 (HTTP, FTP, TELNET 등 )

     - 취약한 암호화 프로토콜을 사용하는 경우 (SSL v2.0, SSL v3.0, TLS v1.0, TLS v1.1)

     - 취약한 암호화 알고리즘을 사용하는 경우 (DES, RC4, MD5 등 )

     - 취약한 암호화 컴포넌트를 사용하는 경우 ( 취약한 버전의 openssl 사용 등 ) 

     - 보안 헤더 설정을 통한 HSTS 가 누락된 경우 (HSTS : HTTP 를 HTTPS 로 강제 리다이렉트 )

     - 고정된 암호문을 사용하는 경우 (Salt, 일회용 난수 미포함 )

     - 사설 인증서 사용 , 인증서와 도메인 불일치

     - 암호키 관리가 미흡한 경우 ( 소스코드 하드코딩 등 )

3. 인젝션

   - 예시

      - SQL injection, NoSQL injection

      - OS Command Injection

      - ORM(Object Relational Mapping) injection

      - LDAP injection

      - EL(Expression Language) injection

      - OGNL(Object Graph Navigation Library) injection

      - Cross-site Scripting

4. 안전하지 않은 설계

     - 설계부터 보안을 고려하는 위협 모델링 , 보안 설계 등이 누락되거나 효율적이지 않은 설계

5. 보안구성오류

     - 취약한 기본 설정 , 미완성 , 개방된 클라우드 스토리지 , 에러 메시지등의 설정의 실수가 존재

6. 취약하고 오래된 요소

     - OS, Web/App, DBMS 등이 취약하거나 유지 관리가 지원되지 않는 것이 문제

7. 식별 및 인증 오류

   - 기본 암호 , 취약하거나 잘 알려진 암호를 허용하거나 비효율적인 인증 방법을 사용 하면 안됨

8. 소프트웨어 및 데이터 무결성 오류

   - 무결성을 확인하지 않고 업데이트 및 중요 데이터를 변경이 가능하여 공격자가 개체나 데이터를 넣는다

9. 보안 로깅 및 모니터링 실패

   - 사고 대응의 비효율적인 통합 또는 누락으로 인해 공격 활동 인지가 불가능하다 .

10. 서버 측 요청 위조

   - 서버측 자체의 요청을 변조하여 공격자가 원하는 형태의 악성 행위를 서버에 던져 주고 , 서버가 이를 검증 없이 그대로 받아 응답하는 공격

 

 

<버프스위트>

- 웹 프록시 기능이 포함된 웹 취약점 진단 도구

- 버프 스위트는 웹 통신 패킷을 가로채어 파일을 변조 및 수정할 수 있으며 , 스캔을 통해 보안 취약점을 자동으로 탐지할 수 있음

- 웹 취약점 점검 시 가장 많이 사용됨

 

일부 기능

- Scope: 진단 진행중인 대상의 Host 나 URL 를 지정할 수 있는데 Burp Suite 를 이용해 자체 Browser 를 통한 툴 사용이 아닌 별도의 프록시를 연동하여 사용할 때 Scope 에서 정의한 URL 에 한정하여 사용할 수 있음

- Intruder: 특정 부분의 반복을 위해 사용 ( 특정 패턴 혹은 무작위 대입을 테스트하는 등 )

- Repeater: Proxy 에서 특정 일부분은 반복적으로 테스트하기 위해 별도로 붙잡아 두기 위해 사용

- Decoder: WEB 진단시 암호화를 위한 인코딩이 되어있는 부분들에 대해 디코딩하는 복 호화 작업이 필요하거나 반대로 인코딩 등을 위해 간편하게 인코딩을 하기 위해 사용

- Intercept: 브라우저와 웹 서버 간에 전달되는 HTTP 및 WebSocket 메시지를 표시하 고모든 메시지를 모니터링 , 가로 채기 및 수정하는 기능

- History: 프록시를 통과한 HTTP 메시지 기록들을 모두 저장하여 기록함