TIL) 프론트엔드 개발자가 알아두면 좋을 웹 공격 (SQL injection, XSS, CSRF, Clickjacking )

 

OWASP (The Open Web Application Security Project)

전세계의 보완 전문가들이 웹의 보완에 대한 표준을 정의하고 이에 대해 기업과 개발자들에게 효율적인 정보를 제공하는 오픈소스 커뮤니티

 

OWASP TOP 10 : 3년 정도의 주기로 발표하는 웹 10대 취약점

 

1. SQL injection 공격 :  데이터 베이스에서 임의의 SQL문을 실행할 수 있도록 명령어를 삽입하는 공격 유형

👉 응용 프로그램의 보안상의 허점을 이용해 데이터베이스를 비정상적으로 조작하여, 기록이 삭제되거나 데이터가 유출될 수 있다.

 

공격 시나리오

1. 공격자가 악의적인 SQL문을 넣어 서버에 전송한다.

2. 서버가 해당 SQL문을 기존 SQL에 삽입해서 데이터베이터스 쿼리를 보냄

 

👇 정상

SELECT * 
FROM users
WHERE auth='admin'
AND id='happyhailie';

👇 비정상

SELECT * 
FROM users
WHERE auth='admin'
AND id='' OR '1'='1';

3. id 검증 여부와 상관없이 '1' = '1'은 참이므로 모든 사용자의 정보를 반환함

4. 모든 사용자의 정보가 공격자에게 전송됨.

 

SQL injection 공격에 대한 대응 방안

1. 입력(요청) 값 검증

화이트리스트* 방식으로 키워드가 들어오면 다른 값으로 치환하는 방법

 

* 화이트 리스트 = 기본 정책이 모두 차단인 상황에서 예외적으로 접근이 가능한 대상을 지정하는 방식 또는 그 지정된 대상들

 

2. Prepared Statement 구문 사용

 

사용자의 입력 값이 전달되기 전에 데이터베이스가 미리 컴파일하여 SQL을 바로 실행하지 않고 대기하고, 사용자의 입력값을 단순 텍스트로 인식하는 방법. (사용자의 입력을 SQL문으로부터 분리 시킨다. )

 

3. Error Message 노출 금지

 

공격자는 데이터베이스의 에러 메세지를 통해 테이블이나 컬럼 등의 데이터베이스 정보를 얻을 수 있는데, 에러가 발생한 SQL 문과 에러 내용이 클라이언트에 노출되지 않도록 별도의 에러핸들링이 필요하다. 

 

---

2. XSS 공격 (Cross-Site Scripting, 사이트 간 스크립팅) = 공격자가 웹 사이트에 악의적인 스크립트를 심어놓는 행위

주로 클릭을 유도하는 글을 작성하고, 해당 글을 클릭하면 공격자가 심어놓은 스크립트가 실행되어 웹 사이트 이용자에게 피해를 준다. 

사용자의 쿠키 같은 민감한 정보를 탈취해서 CSRF 등 다양한 공격에 활용하기도 함. (공격 대상 클라이언트)

 

XSS 공격 유형

1. Stored XSS = 스크립트가 서버에 저장되어 여러 사용자에게 피해를 줄 수 있는 유형 (지속적 기법)

1. 공격자가 게시판에 텍스트가 아닌 스크립트가 담긴 글을 작성하고, 작성된 글이 서버에 저장된다. 
2. 일반 사용자(피해자)가 해당 글을 조회할 때마다 HTML로 글의 내용이 화면에 그려지는 과정에서 해당 스크립트가 실행된다. 브라우저가 단순히 어떤 실행을 하도록 할 수도 있지만 스크립트 내부에서 쿠키 등 민감한 개인 정보를 탈취할 수도 있다.
3. 악성 스크립트가 작성된 글은 서버에 저장되어 있기 때문에 글을 조회할 때마다 스크립트가 실행되어 불특정 다수를 대상으로 공격한다.

2. Reflected XSS = URL 파라미터를 사용해 스크립트를 만드는 유형 (비 지속적 기법)

 

이 스크립트는 서버에 저장되지 않으며 웹 어플리케이션의 지정된 파라미터를 사용할 때 나타나는 취약점을 이용한다. 

1. 공격자는 URL 파라미터에 스크립트가 작성된 링크로 사용자의 클릭을 유도한다. 주로 피싱(e.g. 배송현황 확인 문자)에 사용됨.
2. 피해자가 링크를 클릭하면 열리길 예상하는 웹 사이트가 아닌 다른 웹 사이트(e.g. 취약점이 있는 검색엔진)의 링크로 연결된다. 즉, 요청이 보내진다.
3. 해당 웹 서버는 URL에 담긴 스크립트를 그대로 반사(reflect)하여 클라이언트(피해자)에 응답을 전송한다.
4. 브라우저가 공격자가 심은 악성 스크립트를 그대로 실행한다. alert(”Warning!”)과 같이 브라우저가 단순히 어떤 실행을 하도록 할 수도 있지만, 보통은 쿠키 등 민감한 개인 정보를 탈취하는 코드를 심어 놓는다.

XSS 공격 에 대한 대응 방안

1. 스크립트 태그의 입력을 막기

 

- 입력된 값에 태그(<>)와 같은 특수문자가 입력되지 않게 하거나, 저장 요청이 온 글에 태그(<>)와 같은 특수문자가 있는지 검증한다. 클라이언트 측에선 유저로부터 입력을 받는 곳에 innerHTML 대신 textContent 속성을 사용하여 필터링할 수 있다.

- <는 &lt; 로 치환하고, >는 &gt;로 치환하고 저장하여 HTML의 태그로 인식되지 않아 스크립트가 실행되지 않게 하기.

 

2. 쿠키 설정 확인하기 (httpOnly)

 

사이트에 스크립트가 저장 혹은 실행되는 일 자체를 방지하지 않지만, 스크립트가 쿠키를 탈취하는 경우를 방지해 쿠키에 저장된 민감한 개인 정보의 유출을 막을 수 있다. document.cookie로 자바스크립트를 통해 쿠키에 접근하는 것을 막는다. 

 

3. 쿠키에 민감한 정보 담지 않기

- 민감한 정보는 서버에서 관리하기

- 암호화해서 사용하기

---

3. CSRF 공격 (cross site request forgery)

다른 오리진의 공격자가 사용자의 권한을 탈취하여 서버에 가짜 요청을 보낸다. (공격 대상 서버)

(공격자는 직접 데이터를 접근할 수 없다. )

 

옥션 해킹 사건

<img src="http://auction.com/changeUserAcoount?id=admin&password=admin" width="0" height="0">

1. 옥션 관리자가 관리 권한을 가지고(이미 유효한 쿠키 발급된 상태로) 메일을 조회한다.
2. 해커는 위와 같이 태그가 들어간 코드가 담긴 이메일을 보낸다. 단, 관리자는 이미지 크기가 0이므로 이미지가 있는지 눈치를 채지 못한다.
3. 관리자가 메일을 열면 이미지 파일을 받아오기 위해 URL이 열린다. 
4. 그렇게 되면 해커가 원하는 대로 관리자의 계정이 id와 pw 모두 admin인 계정으로 변경된다.

CSRF 공격 대응 방안

- CSRF 토큰 사용하기

서버 측에서 CSRF 공격에 보호하기 위한 문자열을 유저의 브라우저와 웹 앱에만 제공한다. 

 

- Same-site cookie 사용하기

같은 도메인에서만 세션/쿠키를 사용한다. 

---

4. Clickjacking 공격 = 사용자가 의도한 클릭 대상이 아닌 다른 대상을 클릭하도록 속이는 공격 기법

1. 이메일 혹은 광고 문구 등 사용자의 클릭을 유도하여 본래 웹 페이지와 동일한 피싱 사이트로 접근하도록 한다.
2. 정상적인 서비스를 제공하는 웹 사이트와 동일하게 생겼지만, iframe 태그를 이용해 보이지 않는 버튼을 배치한다. iframe 태그를 이용하면 일반 HTML 화면보다 더 높은 레이어에 있기 때문에 사용자가 클릭한다고 인지하는 버튼과는 다른 버튼이 눌리게 된다.
3. 해당 클릭으로 인해 공격자는 사용자의 개인정보가 탈취하거나 사용자의 컴퓨터 제어권을 획득한다.

 

Clickjacking 대응 방안

1. X-Frame-Options

 

X-Frame-Options 헤더에 설정한 옵션에 따라 브라우저가 웹 페이지 화면의 <iframe> 의 렌더링 여부를 제한한다. 

 

2. 콘텐츠 보안 정책(Content Security Policy, CSP)

 

웹 사이트 소유자들이 콘텐츠의 출처(오리진)를 신뢰할 수 있도록 표준 방식을 제공하여 외부의 악의적인 스크립트나 데이터 삽입 공격을 막을 수 있다.