[ModSecurity]2장 취약점 확인 및 개선

2장 취약점 확인 및 개선

웹 애플리케이션을 내부개발과 외부개발(상용 및 오픈 소스 애플리케이션 모두 포함)이라는 두가지 주요 개발 카테고리로 분류할 수 있다. 이 개발 카테고리는 취약점을 개선하기 위해 필요한 시간에 직접적으로 영향을 미친다.

 

가상 패칭

최근 웹 애플리케이션 방화벽에 일반적으로 사용되고 있다.

외부 패칭, JIT패칭 등 다양한 이름이 존재한다.

가상패칭은 알려쥔 취약점을 악용하는 것을 방지하기 위한 보안 정책 집행 계층이다.

악의적인 트래픽이 웹 애플리케이션에 전송되지 않도록 보안 집행 계층 트랜잭션을 분석해 전송중인 공격을 가로채는 방식으로 동작한다. 그 결과 웹 애플리케이션의 소스코드는 수정되지 않았지만 악성적인 시도는 실패하게 된다.

가상 패칭의 목표는 취약점의 노출된 공격 표면을 줄이는 것이다.  또한 빠른 위험 감소를 제공한다.

 

 

수동 취약점 확인

모드 시큐리티를 사용하여  실시간 애플리케이션의 트래픽을 모니터링함으로써 결함 및 잘못된 설정을 찾아내거나 취약한 자원에 대한 공격을 확인 할 수 있는 방법이다.

 

웹 애플리케이션 방화벽(WAF)이 인정받지 못하는 기능 중 하나는 트래픽을 모니터링 하거나 분석하는 부분이다. 웹 애플리케이션 방화벽을 이용하는 주된 이점은 동적 애플리케이션 보안 테스트(DAST)을 보완해 실제 클라이언트와 웹 애플리케이션이 상호작용하는 것을 모니터링함으로써 실시간으로 발생하는 내역을 확인 할 수 있다는 것이다. 그래서 Passive Vulnerability Identification이라고 불린다.

 

PVI

인바운드 공격을 차단하는 표준적인 웹 애플리케이션 방화벽과는 상당히 다른 모델이다.

OSVDB통합

 OSVDB는 보안 커뮤니티에 의한, 보안 커뮤니티를 위한 독립적인 오픈소스 데이터베이스이다. 

루아 API

모드시큐리티는 exec액션을 통해 외부 스크립트를 조건부로 실행할 수 있도록 허용한다.

(exec은 보안 분야에서 중요한 액션이다.)

exec: 매개변수로 제공된 외부 스크립트/ 바이너리 실행

 

HttpOnly쿠키 플래그 누락되었을 경우를 식별해야한다. 이 쿠키 플래그는 XSS공격에서 세션ID의 탈취르 방지하는데 유용하다. 

 

애플리케이션 결함 식별은 공격 탐지와 다르다는 것을 기억하자.

 

 

 

 

 

 

 

 

 

 

[출처]ModSecurity를 활용한 웹 애플리케이션 방어www.yes24.com/Product/Goods/33350329