주요정보통신기반 웹 취약 분석 평가 방법 10번째 항목인 악성 컨텐츠(maliCiouS contents/CS)다.
사실 malicious contents를 줄여서 cs인건지 아닌지 나도 잘 모른다. 지금까지는 충분히 유추가 가능했는데 얘는 모르겠음. 그래서 걍 끼워맞췄는데 되길래 이건가? 싶어서 써보긴 했다. ㅠ.ㅠ 이런 건 좀 알려주고 코드로 줄여써주지;;
악성 컨텐츠 취약점이라고 하면 감이 잘 안오는데 악성 컨텐츠 실행 취약점이라고 하면 감이 확 올 것이다.
컨텐츠를 개시할 수 있는 게시판이나 자료실 등에 악성 컨텐츠를 주입하고 이를 실행시킬 수 있다면 그것을 악성 컨텐츠 실행 취약점이라고 하는 것이다.
어? 그런데 내 블로그를 제대로 보는 사람들이라면(나 밖에 없음) 이거 어디서 한 거 같다.
바로 File Upload 취약점에서 다루었다. 시나리오로 악성 파일을 업로드하고 방어대책을 제시하면서 업로드가 되지 않도록 하거나 업로드가 되었더라도 실행되지 않도록 하였다.
'File Upload' 카테고리의 글 목록
ragdo11.tistory.com
주통기반 판단기준으로도 악의적 컨텐츠가 실행되지 않는다면 그것은 악성 컨텐츠 취약점에 대해 양호하다 라고 되어 있다.
걍 넘어가도 되지만 또 오지랖이 생겨서,, 그럼 악성 컨텐츠를 업로드는 했는데 그것이 실행되지 않는다면! 보안적으로 위험하다고 볼 수 없는 것인가???
-> 아님. 이거 전에 비슷한 맥락에서 말했던 것 같은데 어찌됬건 이 역시도 안전하다고 평가받지 못한다. 괜히 파일 업로드 취약점이 있는게 아니다. 허용되지 않은 파일이 업로드되는 것 만으로도 이미 취약하다고 평가받는다. 취약점은 단 하나로 끝나는 것이 아니라 다른 취약점과 연계되어 어떤 공격이 가능해질지 모르거니와 설정을 바꿨다가 갑자기 위험해져버릴수도 있기 때문이다.
자자 다시 돌아와서 파일 업로드에서 설명한 내용과 유사한 부분이 많다 했다. 역시 주통기반에서도 '관련 점검 항목 : XS(상), FU(상)' 이라고 표시해주고 있다. 여기서 FU가 파일 업로드. XS는 아시다시피 XSS. 얘는 뭔 상관인지 잘 모르겠다. XSS를 실행하는 것을 악성 컨텐츠 실행의 일환으로 보는 것인건지..
보안설정방법
- 악성 콘텐츠가 삽입되어있는 페이지에 대하여 증거자료(화면, 소스 등)를 남기고, 삽입된 악성 콘텐츠를 삭제하거나 페이지의 삭제 등을 실시함 취득한 증거자료를 가지고 악성 콘텐츠의 삽입 원인에 대하여 분석하여 원인을 제거할 것을 권고함
- 게시판의 글 등록 및 파일 업로드 기능에 Flash 파일이나 avi 동영상 파일, exe 실행 파일 등 악성코드가 포함될 수 있는 콘텐츠를 삽입 또는 업로드 하지 못하게 필터링 적용
- 주기적으로 업로드된 파일을 대상으로 바이러스 검사 실시
'주요정보통신기반 웹 취약점 분석·평가 항목' 카테고리의 다른 글
| 약한 문자열 강도(BF) + Credential Stuffing (2) | 2025.05.20 |
|---|---|
| 크로스사이트 스크립팅(XS) (0) | 2025.05.19 |
| 정보 누출(IL) (0) | 2025.05.19 |
| 디렉터리 인덱싱(DI) (0) | 2025.05.15 |
| Xpath 인젝션(XI) (0) | 2025.05.13 |
