25년 웹/모바일 전자금융기반시설 취약점 분석 평가의 주요 개정사항을 알아봅시다.
무제한 요청 허용
AS-IS : 자동화 공격
TO-BE : 무제한 요청 허용
항목 이름에 따른 내용 혼선 방지를 위해 변경되었다.
취약점 설명
시스템 자원 고갈, 비용 발생 등 서비스 운영상에 영향을 미치는 기능에 대해 반복된 호출 기능 여부를 점검 한다.
[ 예시 ]
- 1원 인증 요청
- 글쓰기
- 파일 업로드
- SMS
- 이메일 발송
- 등
취약/양호 판단
- 해당 기능들이 반복적으로 호출되면 취약
- 해당 기능들이 반복적으로 호출 시 제한이 걸려있으면 양호
세션정보 재사용
평가 기준이 모바일 점검 환경을 고려해 개선되었다.
취약점 설명
세션ID, 토큰등을 타 이용자의 이용 환경에서 해당 값을 이용하여 권한이 필요한 페이지에 정상 접근 및 권한 우회 가능 여부를 점검
[ 예시 ]
- 로그인 수행 후 해당 세션ID를 획득 후, 별도 IP 주소를 사용하는 단말에 해당 이용자에 권한으로 서비스를 이용할 수 있는지
- OAuth, SSO 토큰 획득 후 , 별도 IP 주소를 사용하는 단말에 해당 이용자에 권한으로 서비스를 이용할 수 있는지
- *IP 주소 기반의 세션 검증이 어려운 경우 단말기 정보 기반의 검증 여부 확인
취약/양호 판단
- 별도 IP 주소를 이용하는 다른 단말기에서 접근되면 취약
- IP/단말기 정보 기반으로 검증하여 접근되지 않으면 양호
- 웹/모바일/HTS 경우 통신구간 암호화(SSL)이나, 쿠키 플래그가 HTTPOnly 속성이 존재하면 양호
모바일의 경우는 IP가 지속적으로 변경 가능성이 존재하여 단말기 정보를 활용하여 검증을 해도 양호
판단 기준의 세번째를 보면 세션 정보가 탈취 되었을 경우 별도의 IP/단말 검증이 존재하지 않는 경우 로그인되는 것은 당연하다.
대부분의 기반시설 대상은(SSL + HTTPOnly) 두가지 형태가 구현되어 있을 것인데 해당 로직이 없어도 중간자공격(MITM) 보호 조치가 되어있을 경우 양호 판단을 해도 되는 점이 흥미롭다.
Conclusion
세션정보 재사용의 취약점의 경우 취약/양호 판단하는 것이 점검자의 입장에선 편해졌다.
그렇지만 해당 취약점은 점검자의 입장에선 주의해야 할 점이 있다.
간혹 동일 PC에서 다른 브라우저 2개를 켜놓는 케이스가 존재하는데 이 경우는 점검 방법이 잘못되었다.
그리고 다른 PC에서 점검하더라도 고려해야하는 부분이 있다.
예를 들어 내부에서 A PC과, B PC 2개를 가지고 외부 홈페이지를 점검을 하게 되면 실제 홈페이지에 접속되는 외부 IP가 동일할 수 있다.
-> 이 경우는 다른 PC, 다른 IP를 다르게 하여 점검을 해야한다.
그러나 통신 구간 암호화(SSL)가 있고 쿠키 플래그 HTTPOnly가 있으면 양호로 판단할 수 있어 점검자 PC 1대에서도 해당 부분들을 확인 할 수 있으므로 쉽게 판단을 내릴 수 있다.