(주)파이오링크 침해대응센터에서는 고객사 웹 서비스를 대상으로 웹 침투 테스트 서비스를 제공하고 있습니다.

이번 글은 지금까지 수행한 웹 침투 테스트의 실제 사례를 웹 공격 시나리오로 구성하여 악의적인 공격에 쉽게 활용되고 있는 위험성을 공유하고자 합니다.

침해대응센터에서 제공하는 CVE 취약점 점검 서비스 결과 알려진 위험이 있는 플랫폼 및 Application을 여전히 사용하고 있는 것으로 분석('21.10월 월간 보안 동향 브리핑 참고)되었는데

이번 웹 침투 테스트 결과 분석에서는 Diretory Traversal, SQL Injection, XSS 등 특정 문자열만 잘 필터링하여도 쉽게 조치할 수 있는 취약점이 여전히 존재하고 있는 것으로 파악되었습니다. 

또한 일부 관리자 페이지 접근 시에 단순히 IP 접근 통제만 적용되어 있어 간단한 DB 조작만으로 권한 획득 및 내부 인트라넷 시스템 탈취까지도 가능할 정도로 보안담당자와 웹 운영자가 간과하고 있는 취약점으로 인해 대형 보안사고가 발생할 수 있는 환경에 노출되어 있습니다.

특히, 이러한 간단한 취약점을 통해 내부 시스템에서 특정 행사나 서비스를 위해 수집/저장하고 있는 고객이나 임직원 등의 연락처(e-mail, 전화번도 등)로 OO기관, OO회사 명의의 보이스피싱, 악성메일 발송 등을 시도한다면 과연 어떻게 될지 상상이 되는 상황입니다.

이번 글에서 구성된 시나리오는 아래와 같이 구성되었으며, 

다시금 이 글을 통해 각 기업/기관에서는 이번 글을 통해 쉽게 조치할 수 있지만 조치하지 않는 취약점에 대해 다시 살펴보는 기회가 되었으면 합니다.