업로드 파일의 확장자를 화이트리스트 기반으로 제한 php가 동작하는 서버에서 .php를 업로드 하여 실행 하게 될 시 웹 셸을 업로드 할 가능성이 많다. 이를 방지하기 위해 특정 확장자를 제외한 파일들을 업로드가 불가능하도록 코드를 작성한다.
파일 명 및 경로의 노출제한 파일을 실행하기 위해서는 서버에서의 파일 위치와 파일명을 알고 있어야한다. 이를 공격자가 알 수 없게하기 위해 업로드 한 파일명 및 경로를 DB에 저장하고 파일명은 난독화 하여 서버에 저장한다. 파일을 다운로드 시 게시판의 key를 통해 파일이 저장된 경로와 파일명을가져와 다운로드 할 수 있도록한다.
NAS의 활용 php가 설치되지 않은 NAS에 파일을 업로드 하는 방식으로 구현이 되어 있다면 .php파일을 읽더라도 실행을 할 수 없다.
File include 취약점 (LFI, RFI)
일반적으로 개발 시 공통적으로 사용하는 부분을 따로 개발하고 requre, import 와 같은 구문을 사용하여 해당 코드들을 재사용한다. 이를 이용한 공격 기법이 File include 취약점 이다.
홈페이지가 한국어, 영어 등 다른 언어로 작성된 php가 있다고 가정한다.
Ex) ko.php: 한국어 Navigation bar( Navigation bar는 상단 혹은 좌우측들에 있는 목록을 말한다.)
en.php: 영어 Navigation bar
nav bar의 예시
이를 request의 파라미터로 파일 명을 받게 된다면 File Include 취약점이 존재 할 수 있다.
fileIncludeTest.php
<?php
include($_GET['page']);
echo "wow";
?>
위와 같은 구문으로 작성된 페이지가 있다면 ip:port/ fileIncludeTest .php?page=../../../../../etc/passwd로 요청을 하게 된다면
passwd 파일을 불러올 수 있다.
서버 로컬 파일을 include한다면 Local File Include(LFI), 외부의 파일을 include한다면 Remote File Include(RFI)라고 한다.
이름 그대로 파일을 업로드하여 공격을 하는 방법 이를 통해 웹 셸 및 DoS공격이 가능하다.
파일 업로드의 기능에 용량제한 및 개수 제한이 없는 경우 다량의 고용량 데이터를 업로드하여 해당 서버의 Disk를 점유하도록 공격하게 된다면 가용성에 대한 공격 즉 DoS공격이 될 수 있다.
해당공격을 통해 웹 셸을 실행 할 수 있다면 Server Side 공격이 될 것이고 Client Side 소스를 업로드하고 다른 사용자가 해당 파일을 실행하게 한다면 Client Side 공격이 될 수 있다.
Pishing
login.php 파일이 없는 서버에 /phising/login.php 파일을 업로드 한 뒤 로그인을 시키면 사용자는 앞 도메인을 보고 정상적인 사이트로 인식할 수 있다.
Deface 공격
서버에 index.php가 있는경우 index.php를 업로드하여 새로운 index.php를 실행하도록 하는 공격방법이다.
XSS공격
정상적인 index.php가 있다고 한다면 해당 index.php를 다운로드 받고 index.php에 추가적으로 악성스크립트를 삽입 후 재 재업로드하여 공격 할 수 있다.
웹 셸
웹 셸(web shell)은업로드취약점을 통하여 시스템에 명령을 내릴 수 있는 코드를 말한다. web shell은 간단한 서버 스크립트 (jsp, php, asp...)로 만드는 방법이 널리 사용되며 이 스크립트들은 웹 서버의 취약점을 통해 업로드된다. 웹셸 설치 시 해커들은 보안 시스템을 피하여 별도의 인증 없이 시스템에 쉽게 접속 가능하다. - 위키백과-
즉 파일 업로드를 통해 해당 서버의 명령어를 입력 할 수 있는 공격 방법이다.
웹 셸을 동작 시켰다면 해당 권한은 해당 프로그램을 실행한 권한과 동일하다.
웹 셸은 서버의 구성에 따라 업로드할 파일이 다르다.
python을 사용하는 서버라면 .py의 코드를, java를 사용한다면 .jsp를, php라면 .php를 올리는 방식이 된다.
서비스 거부 공격(-拒否 攻擊, 영어: denial-of-service attack, DoS attack) 또는 디오에스 공격/도스 공격(DoS attack)은 시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다.[1] 대량의 데이터 패킷을 통신망으로 보내고 특정 서버에 수많은 접속 시도를 하는 등 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함된다. 수단, 동기, 표적은 다양할 수 있지만, 보통 인터넷 사이트 서비스 기능의 일시적 또는 영구적 방해 및 중단을 초래한다. 통상적으로 DoS는 유명한 사이트, 즉 은행, 신용카드 지불 게이트웨이, 또는 심지어 루트 네임 서버(root name server)를 상대로 이루어진다. 2002년 10월 22일과 2007년 2월 6일의 DNS 루트 서버에 대한 DNS 백본 DDoS 공격은 인터넷 URL 주소 체계를 무력화시킨 인터넷 전체에 대한 공격이었다. - 위키백과-
즉 사용자가 해당 서비스를 이용할 수 없게 서비스를 공격하는 방법을 통칭하는 뜻으로 여러 방식의 공격이 있다.
크게 두 가지 방식이 있다.
1. 서비스 서버의 리소스를 점유( 어플리 케이션의 취약점)
2. 서비스 서버로 향하는 네트워크 트래픽을 점유
1. 서비스 서버의 리소스를 점유( 어플리 케이션의 취약점)
여기서 서버의 리소스는 CPU, Memory, Disk 등이 포함 될 수 있으며 아래와 같이 높은 리소스를 사용하는 작업에 대한 요청으로 서비스 거부(DoS)가 된 사례이다.
외에도 업로드의 용량제한이 없다면 큰 용량의 데이터를 대량으로 업로드를 하여 Disk를 점유하는 방식또한 존재 한다.
2. 서비스 서버로 향하는 네트워크 트래픽을 점유
서비스를 요청하게 되면 결국 인터넷 망을 통해 서버로 전달 되게 되는데 해당 망에 과도한 요청을 보내어 다른 사용자가 요청할 수 없도록 하는 방법이다.
이와같은 방법은 많은 요청을 보내는 것이 필수적인데 이를 위한 공격 방법이 DDoS공격이다.
Distribute Denial of Service Attack의 약자로 분산 서비스 거부 공격이라고 한다.
2-1.DDoS
DDoS 공격의 구조는 C&C서버(Cmmand and Control Server)가 여러 좀비 PC에 명령하여 일괄적으로 공격대상에게 요청을 보내는 방식이다.
각종 악성코드를 인터넷에 배포하여 좀비PC를 만들어내며 해당 좀비PC를 사용하여 공격자에게 요청하게 된다.
2-2.DRDoS(Distribute Reflected Dinal of Service Attack)
이는 IP 스푸핑을 사용한 공격 방법으로 요청을 하면 여러 응답을 주는 반사서버에 요청지를 공격 대상으로 IP를 변조한 패킷을 전달하여 응답을 공격대상서버에 요청하는 공격방법이다.
이를 위해서는 공격자는 반사서버에 요청지 IP를 공격 대상으로 설정(이를 IP 스푸핑이라 한다.)하여 요청을 보내면 반사 서버들은 해당 요청에 대한 응답을 공격대상에게 전달한다.
2-3 SYN Flood 공격
이는 TCP의 3 way-handshaking의 구조를 활용한 공격으로 TCP연결을 위한 과정중 공격대상이 ACK요청을 공격 서버로 부터 대기하게 만들어 트래픽을 점유하게 하는 방식이다.
3 way-handshaking는 아래와 같은 구조로 가장 마지막의 client가 ACK를 전달하여야 하지만 이를 전달하지 않으므로서 공격대상은 ACK응답을 기다리고 있는 상태를 만든다.
이를 무수히 많은 Client(혹은 Zomibe PC)가 요청하게 된다면 서버는 많은 요청들을 대기상태이므로 신규로 받을 트래픽을 할당할 수 없게된다.
2-4 Slowloris 공격
클라이언트에서 HTTP 요청 시 데이터를 EOF를 전달하지 않으므로서 서버는 이후 데이터를 받을 준비를 하고 있도록 한다. 이를 대량의 Zombie PC를 사용하여 다량의 사용자가 데이터를 보내는 중으로 인식하게 한다.
이를 해결하기 위해 TimeOut시간을 짧게 지정하면 해결 될듯 보인다.
CSRF의 대응방법
- GET Method 대신 POST Mentod 사용
URL을 이용한 CSRF는 GET방식을 이용하기 때문에 주요한 서비스의 경우 GET 방식이 아닌 POST 방식으로 서비스를 구현
요청의 Referrer를 확인 하면 해당 요청을 보낸 페이지를 알 수 있다. 이를 통해 특정 페이지에서 오는 요청만 받도록 개발한다.
단, 이 방식은 referrer를 변조 할 수 있다.
- 사용자만 알 수 있는 정보 요청
비밀번호 변경 등을 할 때 사용자의 현재 비밀번호를 받는 방법이 이와 같은 방법이다. token의 경우 사용자가 기입하는 것이 아닌 서버에서 전달 받기 때문에 iframe에 해당 정보가 포함되어 있지만. 사용자의 현재 비밀번호는 사용자가 직접 기입해야하기 때문에 알 수 없다.
사이트 간 요청 위조(또는 크로스 사이트 요청 위조, 영어: Cross-site request forgery, CSRF, XSRF)는 웹사이트취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.
사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, 사이트간 요청 위조는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다. 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다. - 위키 백과 -
즉 사용자의 동의 없이 특정 요청을 서버에 전송하게 하는 방법을 의미한다.
이는 사용자의 pc에서 동작하므로 사용자의 session 탈취 없이(요청자가 이미 사용자이기 때문에 session을 가지고 있다.)
Ex) 게시판 등록에 img 태그 삽입(src는 비밀번호를 변경하는 URL)
사용자가 게시물을 확인하면 img태그는 이미지를 가져오기 위해 해당 src를 조회하게 되며 비밀번호가 변경된다.
