Referer기반 웹 어플리케이션 권한관리 취약점 점검 방법

Abstract

권한관리 취약점으로 인하여 개인정보 유출 피해 사례가 증가하고 있다. 이는 개인정보 조회 등 관련된 기능에 있어서, 권한관리의 문제로 다른 사용자의 개인정보를 조회하거나 조회 범위 이상의 상세정보를 조회할 수 있는 경우에 발생한다. 이러한, 권한관리 취약점은 공격패턴을 가지고 있지 않고 정상 사용자의 HTTP요청/응답과 유사하게 동작하기 때문에 침입차단시스템, 침입탐지시스템 및 웹 방화벽에서 공격 차단이 불가능하다. 또한 취약점 탐지에 있어서 공격패턴을 가지고 있는 취약점의 경우에는 시그니쳐 기반의 취약점 자동 점검 도구를 활용하여 SQL Injection, Cross Site Scripting, CMD Injection, XPATH Injection 뿐만 아니라, File Download, File Upload등 취약점 패턴에 기반하여 분석할 수 있다. 하지만, 권한관리 취약점과 같은 논리적 판단이 필요한 취약점은 자동점검 도구에서 점검 및 분석이 제한적이며, 논리적 판단정책에 의거하여 취약점을 탐지하여야 한다. 이 연구에서는 RFC2616 표준의 HTTP 프로토콜 헤더 정보 Referer기반 웹 어플리케이션 권한관리 취약점을 탐지하는 기법을 제안한다. 이 기법에서는 복수 사용자 권한을 이용한 웹 요청에 대한 HTTP헤더의 Referer값에서 현재 요청에 대한 이전 웹 페이지의 참조 가능성을 판단하여 권한 관리가 취약한 URL을 찾는다. 이를 통하여 OWASP Broken Web Project를 통해 만들어진 취약한 웹 사이트를 파이썬으로 개발한 자동점검 도구로 취약점을 분석하여 권한관리 취약점을 탐지하였다.