웹 모의해킹 (웹 보안)

- 보안 취약점과 정보보안의 3요소

 

소프트웨어 버그나 설정 문제점과 같이 보안성에 영향을 주는 문제점을 보안 취약점이라 한다.

보안성에 영향을 준다는 의미는 정보보안의 3요소 중 최소 한 가지 이상에 영향을 끼친다는 것.

 

 

- 정보보안의 3요소

기밀성 (confidentiality)	특정 정보가 오직 접근 권한이 있는 사용자에게만 열람되어야 한다. 허가되지 않은 사용자에게는 절대로 노출되지 않아야 한다. 기밀성에 영향을 주는 대표적인 예 : 패스워드, 주민등록번호, 신용카드등의 개인정보 노출 파일의 경우 읽기 권한이 기밀성을 위해 사용된다.
무결성 (integrity)	허가되지 않은 사용자가 정보를 수정할 수 없어야 한다. 무결성이 영향을 받는 경우 : 웹사이트의 내용을 변경시키는 웹사이트 변조 공격, 랜섬웨어나 각종 악성 코드에 의해 파일의 내용이 변경되는 것이 해당한다.
가용성 (availability)	서비스가 문제 없이 운용되어 허가된 사용자는 항상 정보에 접근할 수 있어야 한다. 가용성에 영향을 주는 대표적인 예 : DOS 서비스 거부 공격

 

SQL 인젝션의 공격 과정을 생각해보자

 

1. 웹 어플리케이션 개발자가 SQL 쿼리문에 사용자 입력값을 직접 대입시키도록 코드를 추가함으로써 SQL 인젝션 취약점을 유발한다.

2. 공격자가 웹 어플리케이션을 분석하여 특정 파라미터에서 SQL 인젝션 취약점을 발견한다.

3. 공격자가 SQL 인젝션 취약점이 있는 해당 파라미터를 통해 SQL 인젝션 공격을 수행한다.

 

SQL은 정보보안의 3요소 모두 영향을 줄 수 있는 취약점이다. SQL 인젝션 공격은 주로 데이터베이스에 저장되어 있는 개인정보를 탈취하는데 사용하는데, 기밀성에 영향을 준다.

시스템 명령어 실행이 가능한 경우 공격자가 시스템 내의 파일을 읽고(기밀성), 변경하고(무결성), 삭제하는(가용성) 것이 가능하다.