[ModSecurity]5장 요청 데이터 분석

요청 데이터 수집 

인바운드 요청 데이터에 대해 보안 분석을 하기 전에 모든 데이터 요소에 제대로 접근 할 수 있는지 확인해야 한다.

어떠한 잠재적인 공격 경로를 놓치지 않으려면 모든 요청 데이터에 적절한 가시성을 가지고 있는지 확인해야 한다.

 

요청 바디 접근

기본적으로 모드시큐리티는 요청바디 내용에 대해 접근, 처리, 분석을 하지 않는다.

공격자는 post바디 매개변수로 탐지를 쉽게 회피할 수 있기 때문에 미탐과 관련한 심각한 문제가 있다.

요청바디에 대한 통찰력을 얻으려면 모드 시큐시큐리티에 몇개의 지시자를 설정해야한다.

 

기본지시자

SecRequestBodyAccess: 만약 활성화되어있으면 모드시큐리티가 요청바디 내용을 버퍼에 보관하고 REQUEST_BODY변수  ARGS컬렉션 데이터의 내용을 채운다.

SecRequestBodyLimit: 요청 바디가 가질 수 있는 크기의 임계치를 설정한다. 이 설정은 파일 첨부를 포함한 수치다. 만약 임계치보다 큰 요청이 오게 되면 413 HTTP응답 상태 코드를 리턴한다. 

SecRequestBodyLimitAction: 요청 바디가 임계치보다 큰 경우 어떤 행위를 취할지 결정한다. 거절 또는 부분적 처리 옵션을 선책할 수 있다. 거절을 선택한 경우 언급한 것처럼 413HTTP 응답 상태 코드를 트리거하며 부분적 처리를 선택한 경우 요청을 진행한다. 그러나 임계치에 설정된 부분까지만 요청 바디를 검사한다. 이는 보안 관점에서 적합하지 않지만 보안 설정의 초기 배포 단계에서 예기치 않은 차단을 방지하는데 도움을 준다.

 

XML/SOAP 콘텐츠 접근

기본적으로 모드시큐리티는 두개의 중요한 요청 바디 콘텐츠 유형에 대해 접근 및 처리하는 방법을 알고 있다.

application/x-www-form-urlencoded: 매개변수 데이터를 요청 바디 내에 전달하는 가장 일반적인 콘텐츠 유형이다.

multipart/form-data: 별도의 파일을 전송한는 것처럼 다량의 바이너리 데이터를 전달하는 경우 가장 일반적인 콘텐츠 유형이다.

모드 시큐리티는 이러한 유형의 Content-Type 요청헤더가 지정된 요청 바디를 발견하면 자동적으로 적절한 내부 요청 바디 파서를 시작한다. 만약 클라이언트가 XML 또는 SOAP데이터를 보내는 웹 애플리케이션을 구동 중이라면 libxml2 DSO모듈을 아파치 설정에 추가하여야 한다. apt-get패키지 관리자를 이용해 쉽게 모듈을 추가할 수 있다.

$ sudo apt-get install libxml2 libxml2-dev

모듈이 설치된 후 다음과 같은 LoadFile지시자를 아파치 설정 파일에 추가한다.

LoadFile /usr/lib/libxml2.so.2

이 지시자는 모드 시큐리티가 xml콘텐츠를 적절하게 파싱할 수 있도록 한다. 그리고 Content-Type관련 규칙을 설정한다.

 

 

 

 

 

[출처]ModSecurity를 활용한 웹 애플리케이션 방어www.yes24.com/Product/Goods/33350329