생산 환경의 네트워크에서 웹 애플리케이션을 대비하기 위해서는 애플리케이션 요새화를 해야한다.
■ 가상패칭이란?
: 악의적인 트래픽이 웹 애플리케이션에 전소오디지 않도록 보안 집행 계층이 트랜잭션을 분석해 전송 중인 공격을 가로채는 방식이다. 가상패칭을 통해 애플리케이션이 소스 코드는 수정되지 않았지만 악성적이 시도는 실패하게된다.
■ 능동적인 취약점 식별
: Arachni는 모의 해킹 수행자와 관리자가 웹 애플리케이션의 보안을 평가할 수 있도록 도와주는 루비기반의 프레임워크다. HTTP의 응답을 통해 스스로 학습한다. 다른 스캐너와 달리 동적인 본질을 고려해 경로에 따라 발생하는 변화를 인지하여 자신을 조절하는 것이 가능하다.
Arachni - Web Application Security Scanner Framework
Arachni is a Free/Public-Source Web Application Security Scanner aimed towards helping users evaluate the security of web applications.
www.arachni-scanner.com
■ 수동 스캔 결과 변환
: 위의 Arachni 스캔을 통한 결과로 가상 패치할 수 있는 모드시큐리티만의 규칙을 작성할 수 있는데, 블랙리스트와 화이트리스트 중에 어떤 보안 모델을 택할지도 중요하다.
- 블랙리스트(부정) 보안 모델
: 이 모델은 공격 트래픽을 기술하기 위해 규칙 및 시그니처를 사용한다. 이전 글에서 언급한 OWASP ModSecurity CRS는 이 보안 모델을 많이 사용한다. 아이디에서 특정한 문자, 문자의 순서를 찾을 경우, 이를 차단한다.
블랙리스트 가상 패치를 위해 필요한 3가지 구성요소=취약한 URL+매개변수 인젝션 위치+공격에 사용된 메타문자
블랙리스트 회피 문제: [ ' , ` , -- ] 왼쪽의 세가지 글자 및 글자의 순서가 SQL 오류 메시지를 야기한다.
- 화이트리스트(긍정) 보안 모델
: 회피 가능성이 낮으므로 블랙리스트 접근 방식보다 더욱 강력하다. 동일한 이름을 가진 매개변수의 수를 제한하고, 매개변수 양식과 길이를 제한한다.
출처: ModSecurity를 활용한 웹 애플리케이션 방어 레시피_라이언 바넷 지음
'Network' 카테고리의 다른 글
| ModSecurity 4장_평판 및 서드파티 연관성 (0) | 2021.02.27 |
|---|---|
| ModSecurity 3장_독을 품은 폰(해커 트랩) (0) | 2021.02.27 |
| ModSecurity 1장_애플리케이션 요새화 (0) | 2021.02.17 |
| 해시 방어를 구현하기 위한 ModSecurity 지시자와 규칙 (0) | 2021.02.01 |
| 베이지안 Bayesian 공격 페이로드 탐지 (0) | 2021.01.31 |