nhn security division
DESCRIPTION
Web 2.0 Security. NHN security analysis team, ์ ์ํ 2007.04 ([email protected]). NHN Security Division. Web 2.0 ? ์ํ์์ ์ํ์ ๋ฐ์ ๊ณผ ๋ฐฉํฅ Web 2.0 threat? Countermeasure ๊ฒฐ๋ก ๊ณผ ์์. Contents. Web 2.0 ์ด๋ ? ์ฌ์ฉ์์ ์ ๊ทน์ ์ธ ์ฐธ์ฌ ๊ฐ๋ฐฉ์ฑ ์ง๋จ์ง์ฑ์ ์ถํ๊ณผ ํ์ฉ ( ์ฌ์ฉ์์ ์ํ ์ง์์ ์ง๋์ฑ ) ์ฌ์ฉ์์ ์ํ ์ ๋ณด ๋ฐ ๋คํธ์ํฌ ์ฐฝ์กฐ์ ๊ณต์ - PowerPoint PPT PresentationTRANSCRIPT
NHN Security DivisionNHN Security Division
NHN security analysis team, ์ ์ํ2007.04 ([email protected])
Web 2.0 Security
NHN Security Division
Contents
โข Web 2.0 ?โข ์ํ์์โข ์ํ์ ๋ฐ์ ๊ณผ ๋ฐฉํฅโข Web 2.0 threat?โข Countermeasureโข ๊ฒฐ๋ก ๊ณผ ์์
NHN Security Division
Web 2.0 ?
โข Web 2.0 ์ด๋ ? โ ์ฌ์ฉ์์ ์ ๊ทน์ ์ธ ์ฐธ์ฌโ ๊ฐ๋ฐฉ์ฑ โ ์ง๋จ์ง์ฑ์ ์ถํ๊ณผ ํ์ฉ ( ์ฌ์ฉ์์ ์ํ ์ง์์ ์ง๋์ฑ )โ ์ฌ์ฉ์์ ์ํ ์ ๋ณด ๋ฐ ๋คํธ์ํฌ ์ฐฝ์กฐ์ ๊ณต์ โ ๋ฉํฐ ๋๋ฐ์ด์ค ( Ubiquitous )โ ์ฌ์ฉ์ ์ ๊ทผ์ฑ์ ํฅ์ ( RSS , Atom , AJAX , Open API โฆ)
โข Web 2.0 ๋น์ฆ๋์คโ ์ฌ์ฉ์์ ์๊ฒฌ์ ์ ๊ทน์ ์ผ๋ก ํ์ฉ ํ๊ณ ์ฌ์ฉ์์ ์ ๊ทผ์ฑ์
๊ฐ์ ํ์ฌ ์ง์ ์ ์ธ ์ฌ์ฉ์์ ์ฐธ์ฌ๋ฅผ ํตํ ์ด์ต๋ชจ๋ธ ์ฐฝ์ถ
NHN Security Division
Web 2.0 ?
โข Web ์ paradigm shiftโ Web 2.0 ์ ํน๋ณํ ์ฉ์ด๋ ํ์์ธ๊ฐ ?โ ๋๊ตฌ๋ก์์ Web ์์ ์ํ ์์ Webโ Network ๋ฅผ ํตํ ๊ฐ์์ ์ฌํ -> ํ์ค ์์ผ๋ก ( second life , blo
g , avatar )
NHN Security Division
Web 2.0 ?
โข UCC ( User Created Contents) โ UCC ์ ์ ์
โข ์ผ๋ฐ์ ์ผ๋ก ๋์์ ๊ฒ์๋ฌผ์ UCC ๋ผ ์นญํ๋ ๋ชจ๋ ๋ถ๋ถ์์ ์ฌ์ฉ์๊ฐ ์์ฑํ๋ ์ ํ์ ์ธํฐ๋ท ํ๋์ UCC ๋ผ ํ ์ ์๋ค .
โข ๊ฒ์๋ฌผ , ๋ง๊ธ , ๋์์ , ์ด๋ฏธ์ง , ๋ฉ์ผ๊ณผ ๊ฐ์ ์๊ฒฌ ๋ฐ ์ ๋ณด๋ฅผ ๋ํ๋ด๋ ๋ชจ๋ ์ ํ์ด UCC
NHN Security Division
์ํ์์
โข Web ํ๊ฒฝ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ Web ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ํ์ฌ์ ํ๊ฒฝ ์ดํด
โข ๋ค์ํ online client method , ๋ค์ํ ์ ๊ทผ ๋ฐฉ๋ฒ , ์ฌ์ฉ์ ์ฐธ์ฌ ์ผ๋ฐํ
โข Ref: http://web2.wsj2.com
NHN Security Division
์ํ์์
โข Web ํ๊ฒฝ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ์ ํ๋ณ
โข ๊ด๊ณ (ActiveX) , ํผ์ฑโข ์ ์ฑ์ฝ๋ ์ ํฌ โข ๊ฐ์ธ์ ๋ณด ๊ด๋ จ ( ์ ๋ณด ์ ์ถ , ์์ค , ๋น๋ฐฉ , ํ์์ฌ์ค ) , ํผ์ฑโข Service Hacking
โ XSS ( ๋ค์ํ ๋ถ๋ถ์ XSS ๊ณต๊ฒฉ ), SQL Injection , XML , Request ์์กฐ , DOM , script attack
โ ๋งค๊ฐ์ฒด ๋ณ โข ๊ฒ์๋ฌผ โข ๋ง๊ธ , RSS โข ๋์์ , ์ด๋ฏธ์ง , Flash , Music โฆ
โ ๊ตฌ์กฐ๋ณ โข Open API ( Mashup) ๋ฐ ๋ค์ํ ์ ๊ทผ ํ๊ฒฝ ์ทจ์ฝ์ฑ ( Ajax , SOAP , DoM )โข ์๋น์ค๋ณ ๊ตฌ์ฑ์์ ๋ถ์์ ๋ฐ๋ฅธ ์ํ โ ex )Myspace Attack
NHN Security Division
์ํ์์
โข Web ๊ธฐ์ ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ์ ํ๋ณ
โข ๊ด๊ณ (ActiveX)
NHN Security Division
์ํ์์
โข Web ๊ธฐ์ ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ์ ํ๋ณ
โข ๊ด๊ณ (RSS Advertising) ์๋ํ๋ RSS ๊ด๊ณ ์ ๋ฒ๋
NHN Security Division
์ํ์์
โข Web ๊ธฐ์ ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ์ ํ๋ณ
โข Phishing ( ์ฌํ ๊ณตํ์ ์ธ ๊ธฐ๋ฒ โ ์์์์ ๊ฒฐํฉ ) ์ฌ๋ฌ ์ ํ์ผ๋ก ๋ฐ์
NHN Security Division
์ํ์์
โข Web ๊ธฐ์ ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ์ ํ๋ณ
โข ์ ์ฑ์ฝ๋ ์ ํฌ ( 2006 ๋ 10 ์ ์ดํ )
07.3 ์ ANI ํ์ผ ์ทจ์ฝ์ฑ
NHN Security Division
์ํ์์
โข Web ๊ธฐ์ ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ์ ํ๋ณ
โข Service Hacking - ex) Html / Script Injection โ XSS Attackโ XSS ( ๋ค์ํ ๋ถ๋ถ์ XSS ๊ณต๊ฒฉ ), SQL Injection , XML , Request
์์กฐ , DOM , script attack
RSS Example:
<item rdf:about="http://host/about.foo"><title> <script>alert(โItem
Title')</script> </title><link>http://host/?<script>alert('Item
Link')</script> </link><description><script>alert(โItem
Description')</script></description><author><script>alert(โItem
Author')</script> </author></item>
Atom Example
<entry xmlns="http://www.w3.org/2005/Atom">
<author><name> <script>alert('Entry Author Name')</script></name>
</author><published>2005-09-15T06:27:00-07:00</
published><updated>2005-09-15T13:33:06</updated><id>tag:url.com,1999:blog-6356614.post-
112679118286717848<script>alert('Entry ID')</script></id>
<title type="html"> <script>alert('Entry Title')</script> </title>
<content type="xhtml" xml:base="http://url"xml:space="preserve">
<div xmlns="http://www.w3.org/1999/xhtml"><script>alert('Entry Div
XMLNS')</script></div></content><draft
xmlns="http://purl.org/atom-blog/ns#">false</draft></entry>
NHN Security Division
์ํ์์
โข Web ๊ธฐ์ ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ์ ํ๋ณ
โข Service Hacking โ XSS ( ๋ค์ํ ๋ถ๋ถ์ XSS ๊ณต๊ฒฉ )( RSS โsecurity www.spidynamic.com ์ฐธ์กฐ )โ Feedback attack
RSS Example
<item rdf:about="http://host/about.foo"><title> <script>alert(โItem
Title')</script> </title><link>http://host/?<script>alert(โItem
Link')</script> </link><description><script>alert(โItem
Description')</script></description><author> <script>alert(โItem
Author')</script> </author></item>
Atom Example
<entry xmlns="http://www.w3.org/2005/Atom"><author><name><script>alert('Entry Author
Name')</script></name></author><published>2005-09-15T06:27:00-07:00</
published><updated>2005-09-15T13:33:06</updated><link href="http://url/?
<script>alert('Entry Link')</script>"
rel="alternate" title="<script>alert('Entry Link Title')</script>"type="text/html"/>
<id>tag:url.com,1999:blog-6356614.post-112679118286717848<script>alert('Entry ID')</script></id>
<div xmlns="http://www.w3.org/1999/xhtml"><script>alert('Entry Div XMLNS')
</script></div></content><draft
xmlns="http://purl.org/atom-blog/ns#">false</draft></entry>
NHN Security Division
์ํ์์
โข Web ๊ธฐ์ ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ์ ํ๋ณ
โข Service Hacking โ XSS ( ๋ค์ํ ๋ถ๋ถ์ XSS ๊ณต๊ฒฉ ) 2006 ๋ 7 ์ Google RSS Reader XSS
์ทจ์ฝ์ฑ http://ha.ckers.org/blog/20060704/cross-site-scripting-vulnerability-in-google/
NHN Security Division
์ํ์์
โข Web ๊ธฐ์ ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ์ ํ๋ณ
โข Service Hacking ( XSS , SQL Injection)
NHN Security Division
์ํ์์
โข Web ํ๊ฒฝ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ๋งค๊ฐ์ฒด ๋ณ
โข ๊ฒ์๋ฌผ โ ๊ฒ์ํ์ ์ ์ฑ์ฝ๋ ์ค์น ๋ฃจํด์ด๋ ์ฌ์ฉ์ ์ ๋ณด ์ ์ถ ํ๋ XSS ์ทจ์ฝ์ฑ ๊ณต๊ฒฉ
๋ฃจํด์ ์์ฑ ํ์ฌ ์ฌ๋ฆผ โ ์ ์ฑ์ฝ๋ ์คํ ๋ฃจํด์ด ํฌํจ๋ ๊ฒ์๋ฌผ ํด๋ฆญ ์์ ์ค์น ๋๊ฑฐ๋ ์ ๋ณด ์ ์ถ
NHN Security Division
์ํ์์
โข Web ํ๊ฒฝ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ๋งค๊ฐ์ฒด ๋ณ
โข ๋์์ , ์ด๋ฏธ์ง , Flash , Music โ Ex) mp3 ํ์ผ์ ํฌํจ๋ ์ ์ฑ์ฝ๋ example
NHN Security Division
์ํ์์
โข Web ํ๊ฒฝ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ๋งค๊ฐ์ฒด ๋ณ
โข ๋์์ , ์ด๋ฏธ์ง , Flash , Musicโ Ex) Apple ์ quicktime ๋์์์ ์ด์ฉํ ์ ์ฑ์ฝ๋ ์ค์น
ยป 2006.12 ์ Myspace Attack ์ ์ฌ์ฉ
NHN Security Division
์ํ์์
โข Web ํ๊ฒฝ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ์ํ์์ โ ๋งค๊ฐ์ฒด ๋ณ
โข ๋์์ , ์ด๋ฏธ์ง , Flash , Musicโ Ex) Flash ๋ฅผ ํตํ ์ ์ฑ์ฝ๋ ์ ํฌ , ๋์์์ค๊ฐ์ ์ฝ์ ๋ ์ ์ฑ์ฝ๋
NHN Security Division
์ํ์ ๋ฐ์ ๊ณผ ๋ฐฉํฅ
โข Application Attack
NHN Security Division
์ํ์ ๋ฐ์ ๊ณผ ๋ฐฉํฅ
โข Application Attack Flow
NHN Security Division
์ํ์ ๋ฐ์ ๊ณผ ๋ฐฉํฅ
โข Application Attack ( Ubiquitous service Attack) โ platform์ ๊ด๊ณ ์๋ Application Attack์ ์ผ๋ฐํโ ์ผ๋ฐ Application ๋ฐ ํ์ค๊ท๊ฒฉ์ ๋ค์ํ ํ๋ซํผ ํ์ฌ ( TV , PDA , ๊ฐ์ ์ฉ ๊ธฐ๊ธฐ ,Handphone โฆ ) ex) Java , web , xml โฆ
NHN Security Division
Web 2.0 threat?
โข Web 2.0 threat ํน์ง ?
โ Application worm โ ํน์ ์๋น์ค์ ํนํ๋ Worm โ Ubiquitous service attack ( ๋ค์ํ ์ ์ ๋งค๊ฐ์ฒด )โ ๋ค์ํ platform attack
โข ์ฌ๋ฌ ์ข ๋ฅ์ ํต์ ๊ท์ฝ , ์ฌ๋ฌ ์ข ๋ฅ์ Application ๊ณต๊ฒฉํ๋ ์ ํ์ Monster application attack ์ถํ ๊ฐ๋ฅ์ฑ
NHN Security Division
Web 2.0 threat?
โข Application wormโข ์ต์ด santy worm ( 2004 ๋ 12 ์ )
์ทจ์ฝ Application ์๋ฒAttacker
1. APP ์ทจ์ฝ์ฑ์ ์ด์ฉ ์ต์ด๊ณต๊ฒฉ
Worm Process
Application Worm( ex โSanty worm)
2. ๊ฒ์์์ง ์ด์ฉ ์ทจ์ฝํ ์๋ฒ ๊ฒ์ ํ ๊ณต๊ฒฉ
์ทจ์ฝ Application ์๋ฒ
์ทจ์ฝ Application ์๋ฒ
์ทจ์ฝ Application ์๋ฒ
NHN Security Division
Web 2.0 threat?
โข Application wormโข ๊ณต๊ฐ์ฉ ๊ฒ์ํ ์ทจ์ฝ์ฑ์ ์ด์ฉํ Application worm
Web Server Application ServerAttacker
1. APP ์ทจ์ฝ์ฑ์ ์ด์ฉ ์ธ๋ถ ํ์ผ ์คํ ๋ช ๋ น
์ ์ฑ์ฝ๋ ์ ๋ก๋ ์ฌ์ดํธ
PHP Web Server
3. Option ์ ๋ฐ๋ฅธ ๋ช ๋ น ์คํ
2. ์ธ๋ถ ์ฌ์ดํธ์ ์ฝ๋๊ฐ ๋์์๋ฒ์์ ์คํ๋จ
Reverse Backdoor
Local root exploit
์ ์ฑ ์ฝ๋ ์ต์ . Option ์์ Exploit ์ ์ ํ ํ ๋์น์๋ฒ๋ด์ Local exploit ํ์ผ์ํ์ผ๋ก ์ฐ๊ณ ์์ฑ์ ์ํด
. ์ ์ฑ์ฝ๋๋ด ๋ช ๋ น ์ ๋ ฅ์ฐฝ์์ Exploit์คํ
. ์น์์์ root ๊ถํ ํ๋
NHN Security Division
Web 2.0 threat?
โข Service Application wormโข ex) myspace , ๋ค๋ฅธ ์๋น์ค๋ค๋ ์ ์ฌํ ํํ์ ๊ณต๊ฒฉ ์ํ์ฑ
NHN Security Division
Web 2.0 threat?
โข Service Application wormโข ex) yahoo messenger attack (YH032.explr)
Yahoo ChattingAttacker
1. Yahoo Messenger Attack Code Insert
2. ์ ์ฑ์ฝ๋ ์ฌ์ฉ์ ๋ ธ์ถ๋ฐ ๊ฐ์ผ
์ฑํ ์ฌ์ฉ์
3. ๊ฐ์ง IE Icon ์์ฑ
์ ์ฑ์ฝ๋ ๋ฐฐํฌ์ฌ์ดํธ
4. ์คํ์ด ์จ์ด ์ค์น5. ๋ฑ๋ก์ List ์์ Script base worm ์ฌ์ ์ก
NHN Security Division
Countermeasure
โข Web 2.0 ์ ํจ๋ฌ๋ค์์ ๋ณํ ์ด๋ฏ๋ก ๋จ์ ์์ ๊ธฐ์ ๋ก๋ ๋์์ด ์ด๋ ค์
โข Technical Base โ Filtering
โข ์ฌ์ฉ์ ์ ๋ ฅ์ Filtering ( ๊ธฐ์ ์ , ์ ์ฑ ์ ์ด์ )โข ์ํ์์ ํ๋ณ์ ์ํ ์๋ ํ๋ณ ์์คํ ์ ๊ตฌ์ถ ๋ฐ ์ด์ฉ
โ Platform ์ ์ฒด๊ณํโข Filtering system ์ ์ฒด๊ณํ ๋ฐ ๊ตฌ์กฐํโข ์ ๋ฌธ ๋ณด์ ์ธ๋ ฅ์ ์ด์ฉ๊ณผ ํฉ๋ฆฌ์ ์ธ ํ๋ก์ธ์ค ์๋ฆฝ
โ Monitoringโข ์ธ๋ ฅ์ ์ด์ฉํ ์ด์ ๋ชจ๋ํฐ๋งโข ์๋ Filtering ์์ธ ์ฌ์์ ์์ ๋ชจ๋ํฐ๋ง ๋ฐ Rule Updateโข ์ ๊ท ์ทจ์ฝ์ฑ์ ๋ํ ๋ชจ๋ํฐ๋ง
โ ๋ณด์์ฑ ๊ฒ์ (Black box Test)โข ์ ๋ฌธ ์ธ๋ ฅ์ ์ด์ฉํ ์น ์๋น์ค ๋ฐ Application ์ ๋ํ ๋ณด์์ฑ ๊ฒ์โข ์ทจ์ฝ์ฑ ๋ชจ๋ํฐ๋ง์ ํตํ ์ทจ์ฝ๋ถ๋ถ ์ผ๊ด ์ ์ฉ ๋ฐ ๋ฌธ์ ํด๊ฒฐ ํ๋ก์ธ์คโข Open Api ์ทจ์ฝ์ฑ์ ๋ํ ๊ฒ์ฆ
NHN Security Division
Countermeasure
โข Technical Base
โ Filtering ( ๊ฒ์ํ , ๊ฒ์๋ฌผ , ๋ง๊ธ , ์ด๋ฏธ์ง , Flash , ๋์์ โฆ )
โข ๊ด๊ณ Filteringโข ActiveX ์ธ ์ ์ฑ์ฝ๋ ์ค์น ์ ํ Fiteringโข ์ ์ฑ์ฝ๋ ํฌํจ๋ ์ด๋ฏธ์ง์ ๋ํ Filtering ( string)โข Flash , ๋์์์ ๋ํ Pop up ์ด์ ํ๋ณ์ ํตํ filteringโข ์์ค , ์ฑ์ธ ๊ด๋ จ๋ฌผ์ ๋ํ Filteringโข ์ ์ฑ์ฝ๋ , ํดํนํด , Virus ์ File Upload ์ ๋ํ Filtering
NHN Security Division
Countermeasure โ service owner
โข Technical Base
โ Platform ์ ์ฒด๊ณํโข Filtering ์์คํ ์ ๋ํ ์ฒด๊ณ์ ์ธ ๊ตฌ์ฑโข ์ ์ฒด ์ฌ์ฉ์ ์ ๋ ฅ์ ๋ํ Filtering ๊ตฌ์กฐ ์๋ฆฝโข ์ ๋ฌธ ์ธ๋ ฅ์ ์ฐ๊ตฌ์ ์ํ Filtering Rule ๊ฐฑ์ ๋ฐ ์ถ๊ฐโข ์ฌ์ฉ์์ ์ง์ ์ ๋ ฅ์ ๋ํ ๋น ๋ฅธ ๋ชจ๋ํฐ๋ง ๊ตฌ์กฐ ์๋ฆฝโข ์ ๊ท Filtering issue ๋ฐ์์์ ์ ๋ฌด ๋ถ๋ด ๋ฐ ์ฒด๊ณ์ ์ธ ๋์ ๊ตฌ์กฐ
์๋ฆฝ
NHN Security Division
Countermeasure โ service owner
โข Technical Base
โ Monitoringโข ๋์์์ ๋ํ ๋ชจ๋ํฐ๋ง ( ์ฑ์ธ๋ฌผ , ์ ์ฑ์ฝ๋ ํ์ , ์ค์น ์ ํ )โข ๋น์ ์ ํ์์ ๋ํ ํน์ด์ฌํญ ๋ชจ๋ํฐ๋ง โ ์ ๊ท ์ ํ ํ์งโข ๊ฐ์ธ์ ๋ณด ์นจํด ์ฌ์์ ๋ํ ์ง์ ๋ชจ๋ํฐ๋งโข Filtering ์ดํ์ ๊ฒฐ๊ณผ์ ๋ํ Sample ๋ชจ๋ํฐ๋งโข ์ ๋ฌธ ์ธ๋ ฅ์ ์ํ ์ ๊ท ์ทจ์ฝ์ฑ ์ ๋ด ๋ชจ๋ํฐ๋ง โข Customer service ์ด์ ์งํ ์ ๊ณ ์ ๋ํ ๋ชจ๋ํฐ๋ง ๊ฐํโข Service Abusing ๋ฐ๊ฒฌ์ ์ํ ๋ก๊ทธ ๋ชจ๋ํฐ๋งโข RSS ,Atom ๊ณผ ๊ฐ์ ์ ๋ฌ method ์ ๊ธฐ์ ์ ์ด์ ๋ชจ๋ํฐ๋ง
NHN Security Division
Countermeasure โ service owner
โข Technical Baseโ ๋ณด์์ฑ ๊ฒ์ (Web , Application ์ทจ์ฝ์ฑ ์ ๊ฑฐ )
โข secure coding & secure inspection
๊ฐ๋ฐ ๋ถ์Project Owner SubmitsRequest
Perform Assessment
Generate Report Project Approved
์ํ๊ฐ์์ ์ฑ ์ ์ธ ์์ธ
ReviewRequest
Review Report
CriticalVulnerabilities?
No
Review Report
Yes
ApplyFixes
Fix orgo live?
Go liveFix
AssessmentApproved?
RequestDeferred or Rejected
Yes
No
Risk Discovery
๊ฒฝ์์ธต
IT Security
์ฌ์ ๋ถ์
App ๋ณด์์ฑ ๊ฒ์ ๋ฐ๋ณต
NHN Security Division
Countermeasure โ service owner
โข Technical Baseโ ๋ณด์์ฑ ๊ฒ์์ SDLC ( secure development life cycle)
โข ์ญ๋ ์๋ ๋ณด์ ์ ๋ฌธ๊ฐ ์ง๋จ ์ด๋ ์กฐ์ง์ ํ์ฉํ ์ทจ์ฝ์ฑ ์ ๊ฒ
NHN Security Division
Countermeasure โ user
โข ์ฌ์ฉ์์ ๋์ โ ๊ฐ์ธ PC ์ฐจ์์ ๋ณดํธ ๋ฐฉ์ ์๋ฆฝ
โข Phishing ์ฃผ์ ( ๋ฉ์ผ , ๋งํฌ โฆ )โข ์ฒจ๋ถํ์ผ ์ฃผ์ ( Zeroday worm โฆ)โข ์๋ ค์ง ์ํ์์์ ์ต์ํ ( ๋ณด์ ํจ์น , AV )โข ActiveX ์ ์์คํ ์ค์น ์ ํโข ์ฃผ๊ธฐ์ ์ธ ๋ณด์ ์ค์ ํ์ธ ( ๋ณด์ํจ์น , AV update)โข ์ฃผ๊ธฐ์ ํจ์ค์๋ ๋ณ๊ฒฝโข ์ ๋ขฐ ํ ์ ์๋ ๊ธฐ๊ด์ ๋ณด์ ์ค์ ์ค์นโข ์ฌ์ดํธ๋ณ ์ค์๋์ ๋ฐ๋ฅธ ๋ณด์ ๋ง์ธ๋ ( ํจ์ค์๋ , ๊ฐ์ ์ฌ๋ถ )
NHN Security Division
Countermeasure
โข ์ ์ฑ ์ ์ธ ๋์ โ ISO27001 , ISMS ์ ์คํจ์ ์ธ ๊ด๋ฆฌ ( ์ค๋ฌด์ ์ธ ๋ณด์์ฑ ์ธก๋ฉด )โ White list ์ ๊ด๋ฆฌ ( site , program โฆ )โ ๋ณด์ ์ ๋ฌธ ์ธ๋ ฅ์ ํจ์จ์ ์ธ ์ก์ฑ๋ฐฉ์ ์๋ฆฝโ ๋ชจ๋ํฐ๋ง ์ฒด์ ๋ฐ Filtering ์ ๋ํ ๋ฐฉ์ ์๋ฆฝ ๊ถ๊ณ
NHN Security Division
๊ฒฐ๋ก ๊ณผ ์์
โข ์ํ์ ์ง์๋๋ค .โข โ ์ธ๊ฐ์ ์ธ ๋๋ฌด๋ ์ธ๊ฐ์ ์ธโ ์ฐธ์ฌ๋ ํ์ฌ ์งํํโข Service Application attack ์ ์ผ๋ฐํโข ํนํ๋ ์กฐ๊ฑด์ Attack ( service ๋ณ ๊ณต๊ฒฉ )โข ๊ธฐ์ ์ ์ธ ๋ณด์์ ์ค์์ฑโข Web 2.0 ์ ๋ณํ์ ๊ณผ์ ์ด๋ฉฐ ํฅํ๋ฅผ ๋๋นํ์ฌ ์ถฉ๋ถํ
๋ชจ๋ํฐ๋ง๊ณผ ํ๋ก์ธ์ค์ ์๋ฆฝ์ด ํ์ .
P4ssion is never fade away
NHN Security Division
Q & A
NHN Security Division
๋ณ์ฒจ ( SQL Injection & XSS ๋์ฑ )
ํ ์คํธ ๋ฌธ์ฅ์ ๊ฐ์ด๋ฐ์ ํน์ ๋ฌธ์๊ฐ ๋์ฌ๊ฒฝ์ฐ ( HTML ๋ก ๋ฌธ์ฅ์ด ํํ๋ ๊ฒฝ์ฐ )โ<โ ํ๊ทธ๋ฅผ ์์ํ๋ ๋ฌธ์ , โ&โ ๋ฌธ์ ์์ฑ์ ๋ํ๋ด๋ ๋ฌธ์ , โ>โ ํ๊ทธ์ ๋์ ๋ํ๋ด๋ ๋ฌธ์์ ๊ฒฝ์ฐ ์ฒ๋ฆฌ๊ฐ ํ์ํ๋ค . โ
<script> </script> ์ body ๋ถ๋ถ์ ์์นํ๋ ๋ฌธ์์ ๊ฒฝ์ฐ์ธ๋ฏธ์ฝ๋ก ๊ณผ {} , [] ๋ฌธ์๋ค์ ํํฐ๋ง์ด ์ด๋ฃจ์ด ์ ธ์ผ ํ๋ค .
< , > ๋ฌธ์์ ๋ํ ์นํ ํน์ <script , </script> ๋ฌธ์ฅ์ด HTML ์ ๋ ฅ ํ๋ ๋ด์ ์ถํํ ๊ฒฝ์ฐ์๋ ๋ฐ๋์ ์นํ์ด ๋์ด < = < , > => ๋ฑ์ ๋ฌธ์๋ก ์นํํ์ฌ ํ์๊ฐ ๋ฐ์ํ์ง ์๋๋ก ์ฒ๋ฆฌํ ๊ฒ์ ๊ถ๊ณ ํ๋ค .
๋ณํ ๋์(From)
๋ณํ๊ฐ (To)
< <
> >
( (
) )
# #
& &
NHN Security Division
โข Web Application ์ธ์์ ์ ํจ์ฑ ์ฒดํฌ ( RSS ,Atom ๋ฑ์ ๋ํด์๋ ๋ณ๋ ๊ตฌ์ฑ ํ์ )
โ DB ์ฟผ๋ฆฌ์ ๋ณ์๋ก ์ฌ์ฉ๋๋ ๋ชจ๋ ์ธ์์ ๋ํด ์ ๋ ฅ๊ฐ ๊ฒ์ฆ์ด ์ํ ๋์ด์ผ ํจโข single quote ํ๋๋ฅผ single quote ๋ ๊ฐ๋ก replace ํ๊ฑฐ๋ \'๋ก replace
data = replace(data, "'", "''") , data = replace(data, "'", "\'") โข semi colon ๊ณผ double dash ์ ๊ฑฐโข ์ ์์ด์ฌ์ผ๋งํ๋ ์ ๋ ฅ๊ฐ์ ๋ํด ์ ์๊ฐ ์ฌ๋ถ ์ฒดํฌ
Use IsNumeric Functionโข ๊ธธ์ด ์ฒดํฌ : DB์ปฌ๋ผ์ ํฌ๊ธฐ์ ๊ฐ๊ฑฐ๋ ์์์ง ์ฒดํฌ โข ' , <,>,; ,-- ์ ๊ฐ์ ๋ฌธ์๊ฐ ๋ณ์์ ์กด์ฌ ํ์ง ์๋๋ก ๊ฐ๋ ฅํ ์ฒดํฌ ํ์
โ SQL Injection ๋ฐ Validation Checking program ์ ์ฌ์ฉ ๋ฐ ์ฃผ๊ธฐ์ ์ ๊ฒ ํ์โ Application ๊ฐ๋ฐ์์ ๋ณด์ ๋ฌธ์ ์ธ์์ ํตํ ์ต๊ดํ๋ ์ธ์ ์ ํจ์ฑ ์ฒดํฌ ํ์
โข DB ์ ๊ถํ ์ถ์ ๋ฐ ๋ถํ์ํ Stored Procedure ์ ๊ฑฐโ db_owner ๊ถํ์ ์ ๊ฑฐ๊ฐ ํ์ํ๋ฉฐ ์ผ๋ฐ user ๊ถํ ๋ถ์ฌ ํ์ํจ . ( ๋ฐ์ดํฐ์ ๋ณด๊ธฐ๋ ๊ฐ๋ฅํ๋ ์์คํ
๋ช ๋ น์ด ์คํ์ ๋ถ๊ฐ๋ฅํ๋๋ก )โ xp_cmdshell xp_dirtree xp_regdeletekey xp_regenumvalues xp_regread xp_regw
rite sp_makewebtask sp_adduser โฆ
๋ณ์ฒจ ( SQL Injection & XSS ๋์ฑ )
NHN Security Division
โข IDS ๋ฅผ ์ด์ฉํ ์นจ์ ํ์งโ Ruleset ์ ์ ๋ฐ์ดํธ ํ์ฌ ๋ค์๊ณผ ๊ฐ์ ๋ฌธ์์ด์ ๊ฐ์ง ํ ์ ์๋๋ก
์กฐ์ ํ๋ค .
โข IS_SRVROLEMEMBER , IS_MEMBER('db_owner') , db_name() ,%5Bsysobjects%5D , drop , delete ๋ฑ์ ๊ฒฝ์ฐ False alarm ์ ๊ฒฝ์ฐ๋ ๋ค์ ์์ ์ ์์ผ๋ ์์ฝ๊ฒ ํํฐ๋ง ๊ฐ๋ฅํ ๊ฒ์ด๋ค . ๋ํ IDS_Evasion ๊ณผ ๊ด๋ จํ์ฌ์๋ ๋์ฑ ์ด ํ์ ํ ์ ์๋ค๊ณ ๋ณธ๋ค .
โ ์นจ์ ํ์ง ์ดํ์ Firewall ํน์ switch ์์์์ ๊ณต๊ฒฉ IP ์ฐจ๋จ
โ ๋ชฉ์ ์ง๋ฅผ ํ์ธํ์ฌ ์กด์ฌํ๋ ์ทจ์ฝ์ฑ์ ๋ํ ๊ฐ๋ ฅํ ์์ ํ์ .โข ๋น์ ์ ํ์์ ๋ํ ๋ชจ๋ํฐ๋ง ๋ฐ Alert ๊ฐํ ํ์
โข DB ๋ฐ ์น์๋ฒ ๋จ์์ ๋น์ ์ ํ์์ ๋ํ ์ฌ๊ฐํ ์ฃผ์ ํ์โข ์์คํ ์ ์ฅ์ ๋ฐ์์์ ์์ธ ํ์ ๋ช ํํ ์ ๋ฌโข IN/Out port ์ ๋ํ ์ ๊ทผ์ ์ด ๊ฐํ ๋ฐ ๋ชจ๋ํฐ๋ง ๊ฐํโข ์ฌ์ฉ์ ์ ๊ทผ์ ๋ํ ํต์ ๊ฐํ
๋ณ์ฒจ ( SQL Injection & XSS ๋์ฑ )
NHN Security Division
Web Page crawling ์ดํValidation ์ฒดํฌ๋ฅผ ์ํํ๋
์์ฒด ์ง๋จ ํ๋ก๊ทธ๋จ
Web Application Validation ์ฒดํฌ โ ๋ค์์ ์น ์ง๋จ ํ๋ก๊ทธ๋จ์ด ์กด์ฌ ํ๊ณ ์์
๋ณ์ฒจ ( SQL Injection & XSS ๋์ฑ )
NHN Security Division
Secure Programming & Secure Inspection For Web๋ค์์ ์น ์ทจ์ฝ์ฑ ์ค์บ๋๋ฅผ ํตํด ์ทจ์ฝ์ฑ ๋ณด์ โ ์์ฉ ๊ณต๊ฐ์ฉ Web Validation check scanner โ Gamja [ download at http://blog.naver.com/p4ssion ]
Check problem & correcting[ XSS , SQL Injection โฆ]
Problem Clear[ XSS , SQL Injection โฆ]
๋ณ์ฒจ ( SQL Injection & XSS ๋์ฑ )
NHN Security Division
Secure Programming & Secure Inspection For WebGamja โ Requirement: Wget [Windows] + Perl
๋ณ์ฒจ ( SQL Injection & XSS ๋์ฑ )