[º¸¾È´º½º=ÃÖ°æö Æ®¸®´ÏƼ¼ÒÇÁÆ® ºÎÀå] ÃÖ±Ù ¹ß»ýµÇ°í ÀÖ´Â ÇØÅ· »ç°í°¡ ´ëºÎºÐ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡À» ÅëÇØ ¹ß»ýµÇ¸é¼ ±â¾÷ÀÇ ºñÁî´Ï½º ȯ°æ¿¡¼ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀÌ ¾ó¸¶³ª Áß¿äÇÑÁö Àϱú¿öÁÖ°í ÀÖ´Ù.
À̸¦ ¹æÁöÇϱâ À§ÇØ ±â°ü ¹× ±â¾÷, Çб³¿¡¼´Â ³×Æ®¿öÅ© º¸¾È ¼Ö·ç¼ÇÀÎ À¥ ¹æȺ®, Ãë¾àÁ¡ ºÐ¼®µµ±¸ÀÎ À¥ ½ºÄ³³Ê µîÀ» »ç¿ëÇÏ°í ÀÖÁö¸¸, À¥ ¾ÖÇø®ÄÉÀÌ¼Ç °ü·Ã Ãë¾àÁ¡Àº Áö¼ÓÀûÀ¸·Î ¹ß°ßµÇ°í ÀÖ´Ù.
¼Ò½ºÄÚµå º¸¾È°ü¸® Åø(Code-Ray)ÀÇ Çʿ伺
±×·¸´Ù¸é ÀÌ·¯ÇÑ ¿øÀÎÀº ¹«¾ùÀϱî? Á» ½±°Ô ¾ê±âÇÏÀÚ¸é °³¹ß°øÁ¤¿¡¼ Ãë¾àÁ¡ÀÌ ¾ø´Â Äڵ带 ¸¸µé¸é µÇÁö ¾ÊÀ»±î¶ó´Â »ý°¢À» Çغ¼ ¼ö ÀÖ´Ù. ¹Ù·Î ½Ã½ºÅÛ °³¹ß ¶óÀÌÇÁ »çÀÌŬ(SDLC : Systems Development Life Cycle)ÀÇ º¸¾ÈÅëÁ¦°¡ ÀûÀýÈ÷ ÀÌ·ç¾îÁöÁö ¾Ê±â ¶§¹®¿¡ ¹ß»ýµÈ´Ù´Â °ÍÀÌ´Ù.
´ÙÀ½Àº °³¹ß ¹× ¿î¿µ ÇÁ·Î¼¼½º¿¡ º¸¾ÈÅëÁ¦¸¦ Àû¿ëÇÏÁö ¾ÊÀº °æ¿ì¿¡ ¹ß»ýµÉ ¼ö ÀÖ´Â Ãë¾àÁ¡ »ç·ÊµéÀÌ´Ù.
±×·¸´Ù¸é ÀÌ·¯ÇÑ °³¹ß ¹× ¿î¿µ ÇÁ·Î¼¼½º¿¡ ¼Ò½ºÄÚµå Ãë¾àÁ¡ ºÐ¼® ¹× °ü¸®±â´ÉÀ» ÅëÇØ º¸¾ÈÅëÁ¦¸¦ Àû¿ëÇÑ »ç·Ê¸¦ »ìÆ캸µµ·Ï ÇÏÀÚ.
»ç·ÊºÐ¼®
Ãë¾àÇÑ ¼Ò½ºÄÚµå »ç·Ê¸¦ º¸¸é¼ ¾î¶°ÇÑ ¿øÀÎÀ¸·Î ÀÎÇØ ÇØÅ·»ç°í°¡ ¹ß»ýµÇ´ÂÁö È®ÀÎÇØ º¸ÀÚ.
1. XSS(Å©·Î½º »çÀÌÆ® ½ºÅ©¸³ÆÃ)
¿©·¯ ÇüÅ°¡ Á¸ÀçÇÏÁö¸¸, ´ëÇ¥ÀûÀ¸·Î »ç¿ëÀÚ ÀԷ°ª¿¡ ´ëÇÑ ¹®ÀÚ¿ °ËÁõ ¾øÀÌ ÇØ´ç ÀÔ·Â °ªÀ» ȸ鿡 Ãâ·ÂµÇ´Â °æ¿ì¸¦ Å©·Î½º »çÀÌÆ® ½ºÅ©¸³ÆÃÀ̶ó°í ÇÑ´Ù.
¾Æ·¡ ¼Ò½ºÀÇ ¹®Á¦Á¡Àº 1¹ø ¶óÀο¡¼ HTTP Çì´õÁ¤º¸¸¦ ¿äûÇϸç, 2¹ø ¶óÀο¡¼ ¿äûÇÑ HTTP Çì´õÁ¤º¸¸¦ ȸ鿡 Ãâ·ÂÇÏ°Ô µÈ´Ù. ¸¸¾à HTTP Çì´õÁ¤º¸ Áß Referer °ª¿¡ XSS °ø°ÝÆÐÅÏÀ» »ðÀÔÇÏ´Â °æ¿ì XSS Ãë¾àÁ¡ÀÌ ¹ß»ýµÈ´Ù.
*°ø°Ý¹æ¹ý : RefererÀÇ Á¤»óÀûÀÎ °ªÀ» XSS ÆÐÅÏÀ¸·Î º¯Á¶ÇÏ¿© °ø°ÝÀ» ¼öÇàÇÔ
2. COOKIE Ãë¾àÁ¡
À̹ø »ç·Ê´Â ÄíÅ° °ª º¯Á¶¸¦ ÅëÇØ °³ÀÎÁ¤º¸°¡ À¯ÃâµÇ´Â °æ¿ìÀÌ´Ù. »ç¿ëÀÚÀÇ ÄíÅ° °ªÀ» 13¹ø ¶óÀο¡¼ È£ÃâÇÏ°í, À̸¦ 17¹ø ¶óÀο¡¼ Äõ¸® ¼öÇà¿¡ »ç¿ëÇϵµ·Ï ±¸¼ºÇÏ°í ÀÖ´Ù. ¸¸¾à ÀÌ·¯ÇÑ ÆäÀÌÁö°¡ °³ÀÎÁ¤º¸¸¦ Ãâ·ÂÇÏ´Â ºÎºÐÀ̶ó°í °¡Á¤ÇÑ´Ù¸é ÄíÅ° °ª º¯Á¶¸¦ ÅëÇØ Å¸ÀÎÀÇ °³ÀÎÁ¤º¸¸¦ Äõ¸® ¼öÇàÇÏ°Ô µÇ°í, À̸¦ ȸ鿡 Ãâ·ÂÇØ º¼ ¼ö ÀÖ´Ù.
*°ø°Ý¹æ¹ý : SESSION%5FSITE%5FUIDÀÇ °ªÀÎ user¸¦ adminÀ¸·Î º¯°æÇØ admin °èÁ¤ÀÇ °³ÀÎÁ¤º¸¸¦ À¯Ãâ½ÃÅ´
3. ¸í·É¾î ½ÇÇà
À̹ø »ç·Ê´Â »ç¿ëÀÚ°¡ ÀÔ·ÂÇÑ Á¤º¸°¡ ƯÁ¤ ÆÄÀÏ¿¡ »ðÀԵǴ Ãë¾àÁ¡À» ¾Ç¿ëÇÏ¿© ½Ã½ºÅÛ ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö ÀÖ´Â PHP ÄÚµå »ðÀÔÀ» ÅëÇØ ½Ã½ºÅÛ ±ÇÇÑÀ» ȹµæÇÏ´Â °ÍÀÌ´Ù. 3¹ø, 4¹ø ¶óÀÎÀ» ÅëÇØ »ç¿ëÀڷκÎÅÍ ÀÔ·Â °ªÀ» ¹ÞÀ¸¸ç, ÀÔ·ÂÇÑ Á¤º¸´Â 1¹ø, 2¹ø ¶óÀÎÀ» ÅëÇØ °ø°Ý¹®ÀÚ¿ÀÌ data.php¿¡ ÀԷµȴÙ. ¸¸¾à »ç¿ëÀÚ ÀÔ·Â °ª¿¡ À¥½©À» »ðÀÔÇÏ°í, data.php¸¦ È£ÃâÇÏ´Â °æ¿ì ½Ã½ºÅÛ ±ÇÇÑÀ» ȹµæÇÒ ¼ö ÀÖ´Ù.
*°ø°Ý¹æ¹ý : contents¿¡ ÀԷµǴ Á¤»óÀûÀÎ °ªÀ» À¥½© ÄÚµå·Î »ðÀÔÇÔ
4. ¼Ò½ºÄÚµå ´Ù¿î·Îµå
À̹ø »ç·Ê´Â °³¹ßÀÚ°¡ ´Ù¿î·Îµå Ãë¾àÁ¡À» ÀÌÇØÇÏ°í º¸¾ÈÁ¶Ä¡¸¦ ÇßÀ¸³ª, º¸¾ÈÁ¶Ä¡ÀÇ ¹ÌÈíÀ¸·Î ÀÎÇØ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¼Ò½º¸¦ ´Ù¿î·Îµå ¹Þ°í, À̸¦ ¾Ç¿ëÇØ ½Ã½ºÅÛ¿¡ ħÀÔÇÏ´Â ³»¿ëÀÌ´Ù. 1¹ø ¶óÀο¡¼ »ç¿ëÀڷκÎÅÍ ÀÔ·Â °ªÀ» ¹Þ°Ô µÇ¸ç, 2¹ø ¶óÀÎÀ» °ÅÃÄ 3,4¹ø ¶óÀο¡¼ ¿äûÇÑ ÆÄÀÏÀ» ´Ù¿î¹Þ´Â´Ù.
ÇØ´ç ¼Ò½º¿¡¼ ƯÀÌÇÑ Á¡Àº °³¹ßÀÚ°¡ ´Ù¿î·Îµå °ø°Ý¿¡ »ç¿ëµÇ´Â Ư¼ö¹®ÀÚ(..)¸¦ ¹«·ÂȽÃÅ°±â À§ÇØ replace ÇÔ¼ö¸¦ ÅëÇØ Æ¯¼ö¹®ÀÚ¸¦ Á¦°ÅÇÏ°í ÀÖ´Ù. ±×·¯³ª ´Ù¿î·Îµå °ø°Ý¿¡ ÇØ´ç ¹®ÀÚ¿(..)ÀÌ¿Ü¿¡µµ ´Ù¾çÇÏ°Ô ÀÀ¿ëÇÒ ¼ö ÀÖÀ¸¹Ç·Î, ¾Æ·¡¿Í °°ÀÌ À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡¼ »ç¿ëµÇ´Â ¼Ò½ºÄڵ带 ¿äûÇÒ ¼ö ÀÖ´Ù.
*°ø°Ý¹æ¹ý : Á¤»óÀûÀÎ ÆÄÀϸíÀ» /login/login.asp·Î º¯°æÇØ ÇØ´ç ¼Ò½º¸¦ ´Ù¿î·Îµå ÇÔ
¼Ò½ºÄÚµå º¸¾È°ü¸® ÅøÀÇ ¼±ÅÃÁ¶°Ç
±¹³»¿¡¼ ÆǸŵǰí ÀÖ´Â ¼Ò½ºÄÚµå º¸¾È°ü¸® ÅøÀÇ °æ¿ì ³Ê¹«³ª ¸¹Àº ¿À¿ëŽÁö(False Positive)¸¦ ¸®Æ÷Æ®·Î Á¦°øÇÑ´Ù´Â Á¡ÀÌ´Ù. XSSÀÇ °æ¿ì ÇÑ »çÀÌÆ®¿¡¼ ¼öõ °ÇÀÌ Å½ÁöµÇ¾ú´Ù°í ¸®Æ÷Æ®¸¦ ÇÏ°í Àִµ¥, À̴ ƯÁ¤ Å°¿öµåÀÇ ´Ü¼øÇÑ Á¶ÇÕÀ¸·Î Ãë¾àÁ¡ Äڵ带 ºÐ¼®Çϱ⠶§¹®¿¡ ¹ß»ýµÇ°í ÀÖ´Ù.
¶ÇÇÑ, Ãë¾àÁ¡ Á¤º¸¸¦ º¸¿©ÁÖ´Â ÀÎÅÍÆäÀ̽ºÀÇ Á¦¾à»çÇ×À¸·Î ÀÎÇØ °³¹ßÀÚ ¹× °ü¸®ÀÚÀÇ ¼Ò½ºÄÚµå º¸¾È°ü¸® ºÎ´ãÀ» ´õ¿í °¡Áß½ÃÅ°°í ÀÖ¾î ¿ÀÈ÷·Á ½Ã°£ ¹× ºñ¿ëÀ» ³¶ºñÇÏ°í ÀÖ´Â ½ÇÁ¤ÀÌ´Ù.
¼Ò½ºÄÚµå º¸¾È °ü¸® ÅøÀ» È¿°úÀûÀ¸·Î µµÀÔÇϱâ À§Çؼ´Â °ü·ÃÁ¦Ç°ÀÇ BMT¸¦ ÅëÇØ Á¦Ç°ÀÇ À塤´ÜÁ¡À» ºñ±³ÇØ¾ß ÇÑ´Ù. ¾Æ·¡ ¸®½ºÆ®´Â µµÀÔ ½Ã °í·ÁÇØ¾ß ÇÒ ¼Ò½ºÄÚµå º¸¾È°ü¸® ±â´ÉÀÌ´Ù.
ÀÌ·¸µí Â÷º°ÈµÈ ±â´ÉÀ» ¸é¹ÐÈ÷ ºñ±³ ºÐ¼®ÇØ ¼Ò½ºÄÚµå º¸¾È°ü¸® ÅøÀ» ¼±ÅÃÇÏ°í, À̸¦ È¿°úÀûÀ¸·Î ¿î¿µÇÏ´Â ³ëÇϿ츦 °®Ãß´Â µî ½ÃÅ¥¾îÄÚµù ¹ýÁ¦È¿¡ ´ëºñÇؾ߸¸ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀ» ÇÑÃþ °ÈÇÒ ¼ö ÀÖ°í, ±Ã±ØÀûÀ¸·Î º¸¾È¼öÁØÀ» Çâ»ó½Ãų ¼ö ÀÖ´Ù.
[±Û_ÃÖ °æ ö Æ®¸®´ÏƼ¼ÒÇÁÆ® ºÎÀå(aackc@trinitysoft.co.kr)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>