Web Application Threat Report,€¦ · OWASP 2010 기준 웹 공격 유형 상위 10 A10. Unvalidated Redirects and Forwards A4. Insecure Direct Object References A7. Insecure Cryptographic

Penta Security

Web ApplicationThreat Report, Trends for the first half of 2010

2

Web Application Threat Report, Trends for the first half of 2010

데이터 수집 대상 및 기간II

보고서 요약III

Penta Security Systems Web Application Threat Report 소개I본 보고서는 Penta Security Systems, Inc.의 웹 애플리케이션 방화벽(WAF) 제품인 WAPPLES들의 탐지 통계자료를 제공받아 Penta Security Systems, Inc의 Intelligent Customer Support(ICS) 시스템으로 분석한 정보를 기반으로 하고 있습니다. 본 보고서의 목적은 통계 데이터의 공유와, 웹 공격 동향 자료를 통해 WAPPLES을 이용하는 고객에게 보다 나은 보안 서비스를 제공하는데 있습니다. 본 보고서는 WAPPLES의 룰에 따른 통계 정보, OWASP 10대 취약점과 WAPPLES 룰을 대응시킨 통계 정보, 주요 웹 공격 출발 국가 통계 정보, 웹 공격의 목적에 따른 통계 정보, 주요 공격들의 월별 추이 정보 등을 포함하고 있습니다 (WAPPLES 룰에 대한 설명은 본 보고서의 Appendix.2를 참고하시면 됩니다).본 보고서에서 제공하는 통계정보는 복수개의 WAPPLES를 통합 관리하는 WAPPLES Management System (WAPPLES MS)에서 제공하는 기능과 동일합니다.

본 보고서의 데이터는 공공기관을 제외하고 탐지에 대한 통계정보 제공에 동의한 고객들로부터 제공 받았으며, 통계 자료의 기간은 2010년 01월 01일 ~ 2010년 06월 30일 입니다. 고객들로부터 제공받은 통계자료는 어떠한 개인정보, 고객정보, 그리고 고객이 서비스하는 대상의 정보 등을 포함하고 있지 않으며, 오직 탐지에 대한 통계정보만을 포함하고 있습니다. 또한 본 보고서에 사용된 데이터의 정확성을 보장하기 위하여 설치 후 모니터링 기간에 있는 WAPPLES의 통계정보는 사용하지 않았습니다.

2010년 상반기 동안에 웹 애플리케이션을 보호하는 웹 방화벽은 Request Header Filtering 탐지 횟수가 제일 많았으며, 이는 웹 취약성을 파악하기 위한 스캐너, 혹은 자동화된 공격도구 등을 통한 웹 사이트 접속횟수가 많음을 의미합니다. 이는 웹 공격이 그만큼 대중화되어 있어서 누구나 쉽게 자동화된 툴을 이용하여 웹서버의 취약점을 알아내기 위한 시도를 할 수 있기 때문입니다. 또한, Privacy Output Filtering의 탐지횟수가 높은 것은 개인정보 유출 시도 또는 관리자와 개발자도 모르는 사이에 일어나는 정보유출이 매우 많음을 의미합니다. Error Handling 탐지의 경우, 웹 애플리케이션 개발이 빈번하게 이루어질 때마다, 웹 서버, DBMS 서버 등의 정보가 에러코드 또는 응답 메시지를 통하여 외부로 유출되고 있음을 의미합니다. 공격 의도를 가진 접속으로는 웹서버와 연결된 Database 시스템을 조작하거나, 정보의 대량 유출로 이어질 수 있는 SQL Injection 탐지횟수가 가장 높게 나타났습니다.

3


1. WAPPLES 룰 탐지 상위 10

23.97%

데이터 분석IV

그림1은 WAPPLES의 룰 별 탐지 빈도를 보여줍니다. 2010-01-01~2010-06-30 기간 동안 RequestHeader Filtering공격이 가장 많았고 그 다음으로는 Privacy Output Filtering, Error Handling 공격 순이었습니다.

Request Header Filtering의 경우 웹 브라우저에서 정상적으로 보내는 HTTP Request 요청문과 달리 Header에 필수요소가 빠져있거나, 잘못 되었을 경우 해당 요청을 비 정상 요청 (자동화된 공격 도구 등의 요청) 으로 탐지하게 됩니다.Privacy Output Filtering에서는 주민등록번호/사업자번호/카드번호 등 서버에 저장된 개인 정보의유출 시도가 있을 경우를 탐지하게 됩니다.Error Handling에서는 웹 서버의 오류 메시지, DBMS의 오류메시지등 서버의 정보가 외부로 유출 되는 것을 탐지합니다.

그림1. WAPPLES 룰 탐지 상위 10

0 5 10 15 20 25 30

Request Header Filtering

Privacy Output Filtering

Error Handling

Parameter Tampering

SQL Injection

Invalid HTTP

Privacy Input Filtering

Include Injection

Buffer Overflow

Extension Filtering 3.16%

11.56%

7.66%

3.96%

6.69%

5.83%

5.67%

13.51%

18.00%

4


WAPPLES 룰 탐지건수 (건)

Request Header FilteringPrivacy Output FilteringError HandlingParameter TamperingSQL InjectionInvalid HTTPPrivacy Input FilteringInclude InjectionBuffer OverflowExtension Filtering

< 표1. WAPPLES 룰 탐지 상위 10 >

* 구체적인 수치정보는 WAPPLES 고객용 Report 에서만 제공됩니다.

5


그림2. OWASP 2010 기준 웹 공격 유형 상위 10

A10. Unvalidated Redirectsand Forwards

A4. Insecure Direct ObjectReferences

A7. Insecure CryptographicStorage

A1. Injection

A8. Failure to RestrictURL Access

A2. Cross Site Scripting

A3. Broken Authentication andSession Management

A5. Cross Site Request Forgery

A6. Security Misconfiguration

2. OWASP 2010 기준 웹 공격 유형 상위 10

그림2는 WAPPLES의 룰 탐지 정보를 OWASP 10대 취약점과 대응 시킨 공격 유형의 빈도를 보여줍니다.2010-01-01 ~ 2010-06-30 기간 동안 Injection 공격유형이 가장 많았고 그 다음으로는 InsecureCryptographic Storage, Security Misconfiguration 순이었습니다. Injection 공격은 SQL Injection, Include Injection등의 공격을 포함하며, 2010 OWASP 상위 10중 1위를 차지한 공격 입니다.

OWASP 2010 웹 공격 유형 탐지건수 (건)

InjectionInsecure Cryptographic StorageSecurity MisconfigurationInsecure Direct Object ReferencesFailure to Restrict URL AccessBroken Authentication and Session ManagementCross Site Request ForgeryUnvalidated Redirects and ForwardsCross Site Scripting

< 표2. OWASP 2010 기준 웹 공격 유형 상위 10 >

2.62%

1.37%

13.11%

5.66%

3.60%

2.95%

25.34%

22.99%

22.37%

0 5 10 15 20 25 30


6


3. 웹 공격 주요 출발 국가 상위 5

그림3은 WAPPLES이 탐지한 출발지를 국가별로 분류하여 가장 많이 탐지된 공격 출발 국가를 보여줍니다. 2010-01-01 ~ 2010-06-30 기간 동안 대한민국으로 부터의 공격이 가장 많았고 그 다음 미국, 중국 순 입니다. 본 정보는 전세계 또는 대한민국 전체로 향한 공격 출발 국가로 해석하기에는 무리가 있습니다. 리포트의 대상이 되는 WAPPLES이 대한민국내의 서버를 대상으로 하는 것이 대부분이며, 고객도 일반기업을 대상으로 한 정보이기 때문에 이를 감안하여야 합니다.

웹 공격 출발 국가 탐지건수 (건)

대한민국

미국

중국

네덜란드

태국

< 표3. 웹 공격 주요 출발 국가 상위 5 >

그림3. 웹 공격 주요 출발 국가 상위 5

대한민국78.89%

미국11.90%

중국7.38%

네덜란드 1.12%

태국0.71%


7


4. 웹 공격의 목적

그림4는 웹 공격의 목적을 기준으로 WAPPLES의 룰 탐지 정보와 대응시킨 공격 목적에 따른 빈도를 보여줍니다. 2010-01-01 ~ 2010-06-30 기간 동안 정보유출을 목적으로 한 공격이 가장 많았고 그 다음으로 서버 운영 방해, 웹 사이트 변조 순입니다.

정보유출은 사이트 내에 주민등록번호나 카드 번호와 같은 중요한 개인정보를 입력 또는 유출(Privacy input filtering, Privacy output filtering), 혹은 그것이 들어있는 파일을 올리거나(Privacy file filtering), 웹 사이트의 디렉터리 내용을 노출시키는 방법(Directory listing) 등으로 사용자의 개인적인 정보가 유출되는 것을 의미합니다.서버운영 방해는 서버가 정상적으로 운영되지 않도록 방해하는 것을 의미하며, 웹 서버의 실행코드가 실행될 때 내부 버퍼를 넘치게 하거나(Buffer overflow), HTTP의 규격에서 벗어난 요청 또는 응답을 하거나(Invalid Http), RFC에 정의된 형식을 벗어난 URI 요청을 하거나(Invalid URI), 혹은 웹 요청 값 중 필요 이상의 method나 header를 보내는 방법 등의 공격이 있습니다.웹사이트 변조는 권한이 없는 사용자가 웹 사이트를 무단으로 수정하고 조작하는 것을 의미하며,지정된 웹 페이지의 무단 변조를 일으키는 Website defacement나 SQL서버에서 실행되는 코드에 악의적인 코드를 추가하여 권한이 없는 사용자가 정보를 획득하거나 조작하는 SQL Injection, 또는 웹 서버에서 수행 가능한 .exe, .jsp, .php 등의 파일을 웹 서버로 업로드하는 File upload, 그리고 위험한 스크립트, 파일 및 악성코드 등을 삽입하는 Include injection같은 방법 등의 공격이 존재합니다. 금전적 손해는 인증 절차를 우회하기 위해 쿠키(웹 사용자의 컴퓨터에 저장되어 있는 개인 정보)의 내용을 수정하여 공격함으로써 다른 사용자들의 정보를 얻고 신원을 도용하는 Cookie poisoning 방식이나, 혹은 사용자가 입력해서는 안 되는 parameter를 강제로 입력하여 애플리케이션의 의도대로 동작하지 않게 하는 Parameter Tampering 공격 등으로 사용자가 금전적인 피해를 보게 만드는 것을 의미합니다.악성코드 유포는 서버의 약점을 파악해 Trojan, Virus 등의 악성코드를 유포시키는 일입니다. 해커는 악성 스크립트 코드를 입력함으로써 사용자의 정보를 보여주는 방법이나(XSS), server side script를 입력에 첨부하여 악의적인 명령을 수행하고 정보를 획득하는 방법이나(Stealth commanding), 비정상적인 접근 방식을 통해(Suspicious access) 악성코드를 전송하는 방법 등으로 공격을 시도합니다.

그림4. 웹 공격의 목적

서버 운영 방해35.75%

금전적 손해

10.72%

웹 사이트 변조

11.60%

악성코드 유포

2.67%

정보 유출

39.26%

8


웹 공격의 목적 탐지건수 (건)

정보유출

서버 운영 방해

웹 사이트 변조

금전적 손해

악성코드 유포

< 표4. 웹 공격의 목적 >


9


5. WAPPLES 룰 별 위험도

그림5는 WAPPLES의 룰을 위험한 정도에 따라 긴급, 중요, 보통, 낮음 순으로 분류하고, 그에 따른 공격 빈도를 보여줍니다. 2010-01-01 ~ 2010-06-30기간 동안 보통의 위험도 수준의 공격이 가장 많았고 그 다음으로 심각, 낮음 순 입니다. WAPPLES 의 룰별 위험도는 Appendix에 분류 기준이 있으며, OWASP Top 10 분류기준을 참고하여 Penta Security Systems, Inc.에서 자체적으로 분류한 기준 입니다.

WAPPLES 룰 별 위험도 탐지개수 (건)

심각

높음

보통

낮음

< 표5. WAPPLES 룰 별 위험도 >

그림5. WAPPLES 룰 별 위험도

높음 9.43%

심각 30.59%

보통47.40%

낮음 12.58%


10


6. 웹 공격 동향

x10000 개

그림6. 위험도가 높은 공격들의 월별 추이


Cross Site Scripting

SQL Injection

Invalid URI

Stealth Commanding

Include Injection

90

60

30

10

20

40

50

70

80

100

110

120

0

그림6은 위험도가 높은 6가지 공격 들의 월별 추이를 나타냅니다. 개인 정보의 유출 시도가 6개월에 걸쳐 가장 많았고, DBMS 서버의 조작이나 대량 정보 유출로 이어질 수 있는 SQL Injection 공격의 시도가 그 다음으로 많았습니다.

2월1월 3월 4월 5월 6월

OWASP 2010 웹 공격 유형 1월 2월 3월 4월 5월 6월

Privacy Output FilteringCross Site ScriptingSQL InjectionInvalid URIStealth CommandingInclude Injection

< 표6. 위험도가 높은 공격들의 월별 추이 >


11


NO. OWASP 2010 WAPPLES 룰

1

23

4

5

6

7

8

9

10

Injection

Cross Site ScriptingBroken Authentication and Session Management

Insecure Direct Object References

Cross Site Request Forgery

Security Misconfiguration

Insecure Cryptographic Storage

Failure to Restrict URL Access

Insufficient Transport Layer Protection

Unvalidated Redirects and Forwards

Parameter TamperingSQL InjectionStealth CommandingInclude InjectionCross Site ScriptingCookie PoisoningSuspicious AccessParameter TamperingInvalid URIUnicode Directory TraversalStealth CommandingCross Site ScriptingStealth CommandingFile UploadRequest Method FilteringError HandlingInvalid HTTPDirectory ListingPrivacy Input FilteringPrivacy File FilteringPrivacy Output FilteringUnicode Directory TraversalExtension FilteringURI Access ControlSupported by transaction encryption function (e.g., TLS)URI Access Control

1. WAPPLES Rule 맵핑 테이블 (Mapping Table)

1) OWASP 2010 맵핑 테이블 (Mapping Table)

부록V

OWASP(Open Web Application Security Project)에서 매년 웹 어플리케이션 보안에 관련하여 발생 빈도가 높고, 파급효과가 큰 취약점에 대한 보고서를 작성합니다. 아래의 표는 2010년도 OWASP발표 10대 취약점과 이에 대응하는 WAPPLES의 Rule들을 분류한 표 입니다.

12


분류 설명 WAPPLES 룰

심각

높음

보통

낮음

웹 서버가 완전히 해커의 손에 넘어가는 경우 또는 대량의 정보유출 사고가 발생할 수 있는 경우

웹 서버를 통하여 해킹이 전파될 가능성이 있거나 심각한 추가 공격으로 이어질 수 있는 경우

웹 서버의 정보가 변조되거나 제한적이지만 웹 서버가 피해를 입을 수 있는 경우

공격을 위한 준비단계 이거나 취약점에 대한 정보수집을 하는 경우

Include InjectionPrivacy Output FilteringStealth CommandingSQL InjectionPrivacy File FilteringRequest Method FilteringFile UploadInvalid URIBuffer OverflowCookie PoisoningCross Site ScriptingRequest Header FilteringURI Access ControlExtension FilteringWeb Site DefacementInvalid HTTPSuspicious AccessUnicode Directory TraversalParameter TamperingDirectory ListingInput Content FilteringError HandlingResponse Header Filtering

2) WAPPLES Rule별 위험도 맵핑 테이블 (Mapping Table)

13


분류 WAPPLES 룰

금전적 손해

서버 운영 방해 악성코드 유포 웹 사이트 변조

정보 유출

Parameter TamperingCookie PoisoningSuspicious AccessRequest Method FilteringRequest Header FilteringInvalid URIInvalid HTTPBuffer OverflowStealth CommandingCross Site ScriptingInclude InjectionFile UploadSQL InjectionWeb Site DefacementSQL InjectionUnicode Directory TraversalResponse Header FilteringError HandlingDirectory ListingPrivacy Output FilteringPrivacy File FilteringPrivacy Input Filtering

3) WAPPLES Rule 별 웹 공격의 목적 맵핑 테이블 (Mapping Table)

웹 공격의 목적은

1. 공격을 통하여 금전적 손해를 입히거나, 금전적 이해를 얻으려 하는 경우2. 서버에 무리한 부하를 일으키거나, 서버를 동작 불능 상태로 만드는 서버 운영 방해3. 웹 사이트를 통하여 해커의 악성 코드를 유포 하려 하는 경우4. 웹 사이트의 내용을 임의로 변경하려 하는 웹 사이트 변조5. 개인 정보, 서버의 정보, Database의 정보등을 유출 하려 하는 경우

로 나눌 수 있습니다.

14


WAPPLES 룰 이름 설명

Buffer Overflow

Cookie Poisoning

Cross Site Scripting

Directory Listing

Error Handling

Extension Filtering

File Upload

Include Injection

Input Content Filtering

Invalid HTTP

Invalid URI

IP Black

IP Filtering

Parameter Tampering

Privacy File Filtering

Privacy Input Filtering


Request Header Filtering

Request Method Filtering

Response Header Filtering

SQL Injection

Stealth Commanding

Suspicious Access

Unicode Directory Traversal

URI Access Control

Website Defacement

웹 서버에 메모리 Buffer Overflow공격을 일으킬 수 있는 제한값보다 큰 Data가 포함된 요청문을 차단합니다.

인증과 관련된 민감한 데이터를 포함하는 쿠키의 변조를 차단합니다.

클라이언트 측에서 실행되는 악성 스크립트 코드를 차단합니다.

웹 서버의 파일, 디렉토리 구조가 외부로 유출되는 것을 차단합니다.

웹 서버, WAS, DBMS 서버 등의 정보를 포함한 오류 값이 서버 외부로 노출되지 않도록 차단합니다.

허가되지 않은 파일 확장자를 가진 리소스에 대한 접근을 차단합니다.

웹 서버에서 실행 가능한 파일에 대한 업로드를 차단합니다.

파일 또는 신뢰할 수 없는 외부 URI의 삽입을 차단합니다.

웹 사이트에서 허용되지 않는 용어 사용을 차단 또는 치환 합니다.

HTTP표준 프로토콜에 어긋나는 접속을 차단합니다.

HTTP 표준에 정의된 URI형식에 어긋나는 URI로의 접속을 차단합니다.

동일 출발지에서 일정시간 동안 사용자가 설정한 값 이상으로 탐지될 경우 차단합니다.

사용자가 입력한 특정 IP 대역 또는 국가에 대해서 접속을 차단합니다.

웹 사이트에서 요구하지 않는 파라미터 값을 보내거나, 웹 사이트에서 전송한 파라미터를 조작한 공격을 차단합니다.

파일 내에 존재하는 개인정보를 탐지하여 차단 및 변조 합니다.

개인정보를 입력하여 서버로 보낼 경우 차단 및 변조 합니다.

개인정보가 서버에서 유출될 경우 차단 및 변조 합니다.

웹 브라우저에서 정상적으로 보내는 HTTP Request 요청문과 달리 Header에 필수요소가 빠져있거나, 잘못 되었을 경우 해당 요청을 비 정상 요청 (자동화된 공격 도구 등의 요청) 으로 탐지합니다.

안전하지 않은 HTTP Request Method에 대하여 차단합니다.

HTTP Response 에서 웹 서버, WAS 등의 정보를 삭제 합니다.

SQL Query구문을 삽입하려는 요청을 차단 합니다.

HTTP Request를 통하여 웹 서버내의 특정 명령어를 실행하려는 요청을 차단 합니다.

웹 브라우저의 정상적인 요청이 아닌 자동화 도구의 접속을 탐지 합니다.

웹 서버의 Unicode관련 취약점을 이용하여 디렉토리 및 파일을 접속하려는 요청을 차단합니다.

특정 URI 및 파일 접근 요청을 통제 합니다.

웹 페이지 변조 사고 발생시 대상 페이지를 복구합니다.

2. WAPPLES 룰 소개

Korea(Headquarter) www.pentasecurity.com20Fl. Hanjin Shipping Bldg., 25-11 Yoido-Dong, Youngdeungpo-Gu, Seoul, KoreaTel: 82-2-780-7728 Fax: 82-2-786-5281

Japan(Branch) www.pentasecurity.co.jpAscend Akasaka Bldg., 3F. 3-2-8 Akasaka, Minato-ku, Tokyo 107-0052 JapanTel: 81-3-5573-8191 Fax: 81-3-5573-8193

copyright(c) 2010 All rights reserved by Penta Security Systems, Inc.

Documents

Web Application Threat Report,€¦ · OWASP 2010 기준 웹 공격 유형 상위 10 A10. Unvalidated Redirects and Forwards A4. Insecure Direct Object References A7. Insecure Cryptographic