세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
HTTP와 HTTPS 혼용시 취약점 발견...웹방화벽 필터링 우회 가능
  |  입력 : 2016-03-17 15:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
HTTP 프로토콜 사용 웹에서 특정 기능 페이지만 HTTPS 프로토콜 사용
모든 웹 서비스 HTTP 프로토콜로 제공할 경우 웹방화벽 필터링 우회할 수 있어


[보안뉴스 김경애] 웹서버 구축에 있어 HTTP와 HTTPS를 혼용해 사용할 경우 웹방화벽 필터링을 우회할 수 있는 취약점이 발견됐다.

▲한 공공기관의 HTTP통신에서 XSS코드 차단과 HTTPS 통신에서 코드실행하는 화면


여러 공공기관과 기업에서는 웹서비스 운영시 웹방화벽을 사용해 각종 해킹에 이용되는 악성코드, 문자열 등을 필터링하도록 구축한다. 일반적인 웹 통신은 HTTP로 데이터 암호화 전송은 SSL 통신으로 민감 데이터 보안을 위해 운영되고 있다.

이러한 가운데 상당수 공공기관에서 웹방화벽 정책을 잘못 설정해 웹방화벽 필터링을 우회할 수 있는 취약점이 발견됐다.

▲Burp Suite를 이용해 강제적으로 포트 유도한 화면


문제가 될 수 있는 부분은 △HTTP프로토콜을 사용하는 웹에서 특정 기능의 페이지만 HTTPS프로토콜 사용 △모든 웹 서비스를 HTTP프로토콜로 제공 △SSL통신 외에 API 소스나 검색엔진을 다른 포트로 도입한 경우다.

이를 본지에 알려온 한 제보자는 “HTTP프로토콜을 사용하는 웹에서 특정 기능의 페이지만 HTTPS 프로토콜을 사용하는 경우 HTTP 통신에서는 XSS 코드를 차단하나 HTTPS 통신에서는 코드를 실행하고, 두 번째로 모든 웹 서비스를 HTTP 프로토콜로 제공하는 한 교육기관의 경우 문자열 검색 페이지 패킷을 잡아 강제적으로 80번 포트와 HTTP 프로토콜로 전송하도록 유도한다”고 밝혔다.

▲검색엔진 사용포트로 다른 포트 사용한 화면


세 번째로 SSL통신 외에 API 소스나 검색엔진을 다른 포트로 도입한 경우에는 다른 포트보호가 되지 않는다. 이는 웹방화벽 정책 적용으로 다른 포트는 보호되지 않기 때문이다.

이외에도 한 공공기관에서는 통합 로그인 방식을 사용하고 있으며 로그인 페이지 외에는 HTTP 프로토콜만 이용해 통신하고 있는 것으로 조사됐다. 하지만 URL에 HTTPS를 추가하는 것만으로도 두 가지 방식으로 포트 연결이 가능하다는 것.

이에 대해 제보자는 “HTTP 통신에서는 방화벽을 차단하나 HTTPS 통신에서는 XSS 코드를 실행하고, 루트(ROOT) 권한 쉘코드도 획득할 수 있다”며 “불충분한 인증, 리다이렉트 변조, 파일업로드, 버퍼오버플로우 취약점과 해당 취약점을 연계해 유닉스 시스템의 루트 권한으로 쉘코드를 획득해 시스템 장악에 성공할 수 있다”고 밝혔다.

이어 그는 “많은 공공기관 및 교육기관 등에서 방화벽을 도입했음에도 불구하고 해당 방화벽을 운영하는 인력 부족 등 여러 가지 문제로 해당 취약점에 노출되어 있다”며 “소스코드 레벨에서 대비가 필요하나 조치가 잘 안 된다”고 지적했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#취약점   #HTTP   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)