지난달 OWASP Top 10 2017년도 버전 RC2가 나왔습니다. RC2 버전은 기존 RC1에서 개선되어 발표되는 버전이고 몇가지 만족스러운 변화가 있었습니다.

오늘은 OWASP Top 10 2017 RC2의 변화된 사항과 개인적인 의견을 전달드리려 합니다.


OWASP Top 10 2017 RC2

OWASP github에 공개되어 있습니다.
https://github.com/OWASP/Top10/blob/master/2017/OWASP%20Top%2010%202017%20RC2%20Final.pdf

기존 2017 RC1에서 3가지 사항에 변경이 있었습니다.

OWASP Top 10 2017 RC2 Final.pdf


새로 추가된 사항

요약하자면 XXE, Deserialization 관련, 로깅&모니터링 관련 사항이 추가되었습니다.
아래에서도 이야기드리겠지만 새로 추가된 것중 2가지는 현업 종사자로써 만족스러운 부분이기도 하네요.

A4. XXE(XML External Entity)

XXE 취약점은 XML을 파싱하는 과정에서 ENTITY 속성을 이용한 공격입니다. XML이라는 범위와 공격 형태가 정해져있지만 최근 많은 공격이 발생하고 있고 XXE 제로데이 또한 잘 올라오고 있습니다.

알게모르게 많은 어플리케이션들은 XML을 사용합니다. 웹, 프로그램부터 여러가지로 사용되고 있고 대부분 검증이 잘 되지 않아 XML Injection을 통한 ENTITY 호출로 시스템 명령이나 파일 탈취되기도 합니다.

아무래도 리스크가 높고 취약 포인트를 잡았을때 결과까지 만들어가기 쉬운편이라 중요하게 보아야할 것 같습니다.

올 5월에 온라인 문서 파서에서 유용한 ooxml xxe 관련해서 포스팅했었으니 참고 부탁드립니다 :)
http://www.hahwul.com/2017/05/web-hacking-ooxml-xxe.html


A8. Insecure Deserialization

두번째는 역직렬화 취약점입니다. Deserialize는 역직렬화로 파일에 쓰인 객체를 어플리케이션이 로드하여 사용할 수 있게 도와줍니다. 이 과정에서 임의로 명령실행이나 권한 상승이 가능한 객체를 생성하여 전달해주니다.

공격자는 이를 이용해서 악의적인 객체를 넘겨주고 어플리케이션이 이를 로드하는 과정에서 검증되지 않은 객체를 만들어 공격자가 의도한 행위가 실행됩니다.

최근에 Struts2 RCE 취약점이 있었는데 해당 취약점도 Deserialization으로 인한 취약점이였습니다.

(http://www.hahwul.com/2017/09/exploit-struts2-rest-plugin-xstream-rce.html)

Struts2 취약점에서의 Deserialization


A10. Insufficient Logging & Monitoring

서비스에 대한 로깅과 모니터링에 대한 부분입니다. 공격에 대해서 빠르게 감지하고 대응하려면 로깅과 모니터링이 잘 이루어지고 있어야하지만 지켜지지 않는 경우도 많다고 합니다. 최근부터 OWASP가 단순히 취약점 이외에 항목들, 보안성에 대한 이야기를 하기 때문에 이런 형태의 항목들도 추가가 되고 있습니다. 웹 취약점 진단 시 이런것도 체크하면 좋을 것 같네요. (테스팅이 안되면 질의서라도...핳)

Conclusion

이번 RC2는 개인적으로 만족스럽습니다. 매번 일을 하면서 XXE와 Deserialize Vulnerability에 대한 위험성과 중요도를 많이 느꼈었고 이 친구들이 다음 OWASP에라도 올라왔으면 하는 바램이 있었습니다.

새로 추가된 3개의 항목은 굉장히 중요합니다. A4. A8과 같은 기술에 대해선 잘 숙지하고 A10 같이 조금 넓은 의미에 대한 항목 또한 어떻게 테스팅할건지, 좋은 방안으로 사용될 수 있는지 연구가 필요할 것 같네요.


※ 추가
지금 보니깐 CSRF가 빠졌네요? 좀 놀라운데.. 순위가 그렇다쳐도 XSS,CSRF는 아주 중요한 취약점인데 빠졌다는건 의외네요.
개인적으론.. CSRF가 다시 포함되었으면 하는 바램입니다.

Reference

https://github.com/OWASP/Top10/blob/master/2017/OWASP%20Top%2010%202017%20RC2%20Final.pdf

댓글 없음:

댓글 쓰기