세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
HTTP와 HTTPS 혼용시 취약점 발견...웹방화벽 필터링 우회 가능
  |  입력 : 2016-03-17 15:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
HTTP 프로토콜 사용 웹에서 특정 기능 페이지만 HTTPS 프로토콜 사용
모든 웹 서비스 HTTP 프로토콜로 제공할 경우 웹방화벽 필터링 우회할 수 있어


[보안뉴스 김경애] 웹서버 구축에 있어 HTTP와 HTTPS를 혼용해 사용할 경우 웹방화벽 필터링을 우회할 수 있는 취약점이 발견됐다.

▲한 공공기관의 HTTP통신에서 XSS코드 차단과 HTTPS 통신에서 코드실행하는 화면


여러 공공기관과 기업에서는 웹서비스 운영시 웹방화벽을 사용해 각종 해킹에 이용되는 악성코드, 문자열 등을 필터링하도록 구축한다. 일반적인 웹 통신은 HTTP로 데이터 암호화 전송은 SSL 통신으로 민감 데이터 보안을 위해 운영되고 있다.

이러한 가운데 상당수 공공기관에서 웹방화벽 정책을 잘못 설정해 웹방화벽 필터링을 우회할 수 있는 취약점이 발견됐다.

▲Burp Suite를 이용해 강제적으로 포트 유도한 화면


문제가 될 수 있는 부분은 △HTTP프로토콜을 사용하는 웹에서 특정 기능의 페이지만 HTTPS프로토콜 사용 △모든 웹 서비스를 HTTP프로토콜로 제공 △SSL통신 외에 API 소스나 검색엔진을 다른 포트로 도입한 경우다.

이를 본지에 알려온 한 제보자는 “HTTP프로토콜을 사용하는 웹에서 특정 기능의 페이지만 HTTPS 프로토콜을 사용하는 경우 HTTP 통신에서는 XSS 코드를 차단하나 HTTPS 통신에서는 코드를 실행하고, 두 번째로 모든 웹 서비스를 HTTP 프로토콜로 제공하는 한 교육기관의 경우 문자열 검색 페이지 패킷을 잡아 강제적으로 80번 포트와 HTTP 프로토콜로 전송하도록 유도한다”고 밝혔다.

▲검색엔진 사용포트로 다른 포트 사용한 화면


세 번째로 SSL통신 외에 API 소스나 검색엔진을 다른 포트로 도입한 경우에는 다른 포트보호가 되지 않는다. 이는 웹방화벽 정책 적용으로 다른 포트는 보호되지 않기 때문이다.

이외에도 한 공공기관에서는 통합 로그인 방식을 사용하고 있으며 로그인 페이지 외에는 HTTP 프로토콜만 이용해 통신하고 있는 것으로 조사됐다. 하지만 URL에 HTTPS를 추가하는 것만으로도 두 가지 방식으로 포트 연결이 가능하다는 것.

이에 대해 제보자는 “HTTP 통신에서는 방화벽을 차단하나 HTTPS 통신에서는 XSS 코드를 실행하고, 루트(ROOT) 권한 쉘코드도 획득할 수 있다”며 “불충분한 인증, 리다이렉트 변조, 파일업로드, 버퍼오버플로우 취약점과 해당 취약점을 연계해 유닉스 시스템의 루트 권한으로 쉘코드를 획득해 시스템 장악에 성공할 수 있다”고 밝혔다.

이어 그는 “많은 공공기관 및 교육기관 등에서 방화벽을 도입했음에도 불구하고 해당 방화벽을 운영하는 인력 부족 등 여러 가지 문제로 해당 취약점에 노출되어 있다”며 “소스코드 레벨에서 대비가 필요하나 조치가 잘 안 된다”고 지적했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#취약점   #HTTP   


GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)