JavaScript의 일반적인 보안 취약점 및 자동 탐지 기술_javascript 기술

머리말

Web2.0의 발전과 Ajax 프레임워크의 인기로 인해 리치 클라이언트 웹 애플리케이션(RIA)이 날로 증가하고 있으며 점점 더 많은 로직이 서버 측에서 서버 측으로 이전되기 시작했습니다. 이러한 로직은 일반적으로 모두 JavaScript 언어를 사용하여 작성됩니다. 그러나 불행하게도 개발자들은 일반적으로 JavaScript 코드의 보안에 많은 관심을 기울이지 않습니다. IBM X-Force 2011 중기 동향 보고서에 따르면 Fortune 500대 웹사이트와 일반적으로 알려진 웹사이트의 40%가 JavaScript 보안 취약점을 갖고 있습니다. 이 기사에서는 독자가 일상적인 코딩 작업에서 이러한 보안 취약점을 피할 수 있도록 돕기 위해 코드와 함께 일반적인 JavaScript 보안 취약점을 보여줍니다. 또한 클라이언트측 JavaScript 보안 취약점의 원칙은 서버측 보안 취약점의 원칙과 약간 다릅니다. 현재 JavsScript 보안 취약점을 자동으로 탐지하는 데는 큰 기술적 어려움이 있습니다. 이 기사에서는 사용 사례를 독자들과 공유합니다. IBM Rational AppScan Standard Edition V8.0의 새로운 기능(JSA(JavaScript Security Analyser) 기술은 JavaScript 보안 취약성을 자동으로 감지합니다.

일반적인 JavaScript 보안 취약점

2010년 12월 IBM은 웹 애플리케이션의 클라이언트 측 JavaScript 보안 취약점에 대한 백서를 발표했으며, 여기에는 IBM Security Research Institute에서 실시한 JavaScript 보안 상태 설문 조사가 포함되어 있습니다. 샘플 데이터에는 Fortune 500대 기업의 웹사이트를 포함한 675개의 웹사이트와 IT 기업, 웹 애플리케이션 보안 서비스 회사, 소셜 네트워킹 사이트 등을 포함한 유명 웹사이트 175개가 포함되어 있습니다. 이러한 웹사이트의 정상적인 작동에 영향을 주지 않기 위해 연구원들은 로그인 없이 액세스할 수 있는 페이지의 하위 집합(사이트당 최대 200페이지)만 검사하는 비침해적 크롤러를 사용했습니다. 이러한 페이지는 저장되었으며, 연구원들은 IBM의 JavaScript 보안 분석 기술을 사용하여 DOM 기반 크로스 사이트 스크립팅 및 리디렉션 취약성에 중점을 두고 오프라인으로 이러한 페이지를 분석했습니다.

테스트 결과는 놀랍습니다. 이러한 유명 웹사이트 중 14%에는 심각한 JavaScript 보안 문제가 있습니다. 해커는 이러한 취약점을 이용해 악성 소프트웨어를 심고, 피싱 사이트를 심고, 사용자 세션을 하이재킹할 수 있습니다. 더욱 놀라운 점은 IBM의 JavaScript 보안 분석 기술이 성숙해짐에 따라 2011년 중반 X-Force 보고서에 따르면 IBM이 위에서 언급한 유명 웹사이트를 다시 테스트하여 더 많은 보안 취약점을 발견했으며 웹사이트의 약 40%에 JavaScript 보안이 적용되어 있는 것으로 나타났습니다. 취약점.

java 기업 수준 범용 권한 보안 프레임워크 소스 코드 SpringMVC mybatis 또는 최대 절전 모드 ehcache shiro druid 부트스트랩 HTML5

다음 기사에서는 독자가 코드와 함께 이러한 일반적인 JavaScript 보안 취약점을 보여줌으로써 독자가 실제 코딩 과정에서 이러한 보안 문제를 발견하고 가능한 한 빨리 이러한 위험을 피할 수 있도록 합니다.

DOM 기반 크로스 사이트 스크립팅

우리는 XSS(Cross Site Script, Cross-Site Scripting Attack이라고도 함)에 대해 모두 들어보셨을 것입니다. 이는 공격자가 합법적인 웹 페이지 코드에 악성 스크립트 코드(일반적으로 HTML 코드 및 JavaScript)를 삽입한 후 공격자는 이러한 악성 스크립트 코드를 이용하여 세션 하이재킹 등의 공격을 수행할 수 있습니다. 크로스 사이트 스크립팅은 일반적으로 반사형과 영구형으로 구분됩니다. 반사형 크로스 사이트 스크립팅은 요청 데이터가 서버 응답 페이지에서 인코딩 및 필터링되지 않은 상태로 렌더링될 때 발생합니다. 영구형은 악성 코드가 포함된 요청 데이터를 서버에 저장합니다. 웹 애플리케이션. 사용자가 특정 페이지를 방문할 때마다 악성 코드가 자동으로 실행됩니다. 특히 Web2.0 유형의 소셜 네트워킹 사이트에서는 이러한 공격이 흔하며 위협도 더 큽니다. 크로스 사이트 스크립팅을 처리하는 방법에는 크게 두 가지가 있습니다. 첫째, 사용자 입력을 신뢰하지 않고 화이트리스트 기술을 사용하여 입력 매개변수를 확인하는 것입니다. 둘째, 출력 시 사용자가 제공한 콘텐츠를 이스케이프 처리합니다.

그러나 세 번째 유형의 크로스 사이트 스크립팅 취약점이 있다는 사실은 알려진 바가 거의 없습니다. 2005년에 Amit Klein은 DOM 기반 교차 사이트 스크립팅을 공개한 "DOM 기반 교차 사이트 스크립팅 또는 제3종 XSS"("DOM 기반 교차 사이트 스크립팅 또는 제3종 XSS") 백서를 출판했습니다. 일부 HTML 페이지가 document.location, document.URL 또는 document.referer와 같은 DOM 요소의 속성을 사용하는 경우 공격자는 이러한 속성을 사용하여 악성 스크립트를 삽입하여 DOM을 구현할 수 있습니다. 기반 상호 참조 공격.

아래에서는 매우 간단한 HTML 페이지를 통해 DOM 기반 크로스 사이트 스크립팅의 원리를 보여줍니다. 사용자의 성공적인 로그인을 환영하는 메시지를 표시하는 정적 HTML 페이지(목록 1 참조)가 있다고 가정합니다.

목록 1. DOM 기반 XSS를 사용한 HTML 코드

<HTML>
<TITLE>Welcome!</TITLE>
Hi
<SCRIPT>
 var pos=document.URL.indexOf("name=")+5;
 document.write(document.URL.substring(pos,document.URL.length));
</SCRIPT>
<BR>
Welcome to our system
…
</HTML>

按照该页面 JavaScript 代码逻辑，它会接受 URL 中传入的 name 参数并展示欢迎信息，如清单 2 所示：

清单 2. 正常情况下的访问 URL

http://www.vulnerable.site/welcome.html?name=Jeremy

但如果恶意攻击者输入类似如下的脚本，见清单 3，该页面则会执行被注入的 JavaScript 脚本。

清单 3. 访问 URL 中注入脚本

>

通过 URL 重定向钓鱼

网络钓鱼是一个通称，代表试图欺骗用户交出私人信息，以便电子欺骗身份。通过 URL 重定向钓鱼指的是 Web 页面会采用 HTTP 参数来保存 URL 值，且 Web 页面的脚本会将请求重定向到该保存的 URL 上，攻击者可以将 HTTP 参数里的 URL 值改为指向恶意站点，从而顺利启用网络钓鱼欺骗当前用户并窃取用户凭证。清单 5 给出了较为常见的含有通过 URL 重定向钓鱼漏洞的代码片段。

清单 5. 执行重定向的 JavaScript 代码片段

<SCRIPT>
…
 var sData = document.location.search.substring(1);
 var sPos = sData.indexOf("url=") + 4;
 var ePos = sData.indexOf("&", sPos);
 var newURL;
 if (ePos< 0) {
 newURL = sData.substring(sPos);
 } else {
 newURL = sData.substring(sPos, ePos);
 }
 window.location.href = newURL;
…
</SCRIPT>

이러한 JavaScript 스크립트는 리디렉션 수행을 담당하며 사용자 입력에 표시된 것처럼 document.location, document.URL 또는 document.referer와 같은 DOM 요소의 속성 값에서 새 주소를 가로채는 것을 볼 수 있습니다. 목록 6.

목록 6. 리디렉션을 수행할 URL

http://www.vulnerable.site/redirect.html?url=http://www.phishing.site

분명히 사용자가 목록 6에 표시된 URL을 실행하면 피싱 웹사이트로 리디렉션됩니다. 이 취약점의 원리는 서버 측 리디렉션 취약점보다 간단하고 이해하기 쉽습니다. 그러나 URL 리디렉션을 통한 피싱의 경우 피싱 사이트의 URL이 서버에 의해 가로채어 필터링되지 않으므로 이 취약점은 서버 측 리디렉션 취약점보다 더 숨겨져 있는 경우가 많습니다.

클라이언트 JavaScript 쿠키 참조

쿠키는 일반적으로 웹 서버에 의해 생성되어 클라이언트 브라우저에 저장되며 사용자의 신원, 세션 정보, 심지어는 클라이언트의 인증 정보까지 저장하는 데 사용됩니다. 클라이언트 측 JavaScript 코드는 쿠키 데이터를 조작할 수 있습니다. 클라이언트 측에서 JavaScript를 사용하여 사이트의 쿠키를 생성하거나 수정하는 경우 공격자는 코드를 보고, 코드를 읽음으로써 해당 논리를 이해할 수 있으며, 해당 지식을 사용하여 쿠키를 수정할 수도 있습니다. 쿠키에 권한 정보와 같은 중요한 정보가 포함되면 공격자는 이러한 취약점을 쉽게 악용하여 권한 상승 및 기타 공격을 수행할 수 있습니다.

자바스크립트 하이재킹

많은 웹 애플리케이션이 JSON을 Ajax의 데이터 전송 메커니즘으로 활용하는데, 이는 일반적으로 JavaScript 하이재킹 공격에 취약한 반면 기존 웹 애플리케이션은 덜 취약합니다. JSON은 실제로 JavaScript의 일부이며 일반적으로 배열 형식입니다. 공격자는 자신의 악성 사이트 페이지에 있는 <script> 태그를 통해 공격 사이트의 JSON 동적 데이터 인터페이스를 호출하고, JavaScript Function Hook 등의 기술을 통해 JSON 데이터를 획득합니다. 사용자가 공격받은 웹 사이트에 로그인(신원 인증 정보는 세션 쿠키를 기반으로 저장되어 있다고 가정)하고 공격자에게 유인되어 악성 사이트 페이지를 방문하게 되면 <SCRIPT src="&gt ; 이 태그가 포함된 요청은 쿠키 정보가 전달되며, 악성 사이트는 공격받은 사이트에 JSON 데이터 획득 요청을 보냅니다. 공격받은 사이트 서버는 현재 요청을 합법적인 것으로 간주하고 현재 사용자의 관련 JSON 데이터를 반환합니다. 이 과정은 오프사이트 크로스 사이트 요청 위조 CSRF 공격</script>

과 동일합니다.

Ajax가 더욱 발전하고 HTML5가 점진적으로 적용됨에 따라 클라이언트 측 보안 취약점이 더 많이 나타날 것입니다. 현재 JavaScript에 대한 보안 연구는 많지 않습니다. 새로 출시된 HTML5 클라이언트측 저장소, 도메인 간 통신 및 기타 새로운 기능도 보안과 밀접한 관련이 있습니다. 저자의 제한된 지식을 고려하여 JavaScript 관련 보안 취약점에 대해서는 그다지 설명하지 않겠습니다. 다음으로 JavaScript 보안 취약점 탐지 기술에 대해 이야기하겠습니다.

JavaScript 보안 취약점 자동 탐지

우리 모두 알고 있듯이 일반적으로 코드 보안 취약점을 탐지하기 위해 화이트박스 검사와 블랙박스 검사가 있습니다. 화이트박스 검사는 수동 코드 검토 또는 자동화된 코드 분석 도구를 통한 코드 분석에 중점을 둡니다. 블랙박스 검사는 주로 침투 테스트를 위해 해커 공격을 시뮬레이션합니다. 일반적으로 블랙박스 검사는 정확도는 높지만 코드 적용 범위는 작은 반면, 화이트박스 검사는 코드 적용 범위는 높지만 오탐률이 높습니다. 두 방식의 결합은 서로의 단점을 보완할 수 있으며, 향후 하이브리드 검사 방식이 대세일 것으로 예상된다.

JavaScript 코드의 경우 브라우저 간 호환성 및 더 나은 Ajax 기능 요구 사항 등의 이유로 Dojo, JQuery 등과 같은 타사 JavaScript 코드 라이브러리에 의존하는 웹 애플리케이션이 점점 더 많아지고 있습니다. 이러한 코드 라이브러리는 파일 크기를 줄이기 위해 코드를 압축하는 경우가 많아 가독성이 극도로 떨어지므로 수동으로 코드를 검토하는 것이 거의 불가능합니다. 또한 페이지에는 JavaScript 호출에 대한 진입점이 많아 수동 침투 테스트가 매우 노동 집약적이고 어렵습니다. 따라서 JavaScript 보안 취약점을 탐지하려면 자동화된 테스트 도구를 사용하는 것이 좋습니다.

Rational AppScan JSA의 원리에 대한 간략한 소개

JSA는 Rational AppScan Standard V8.0의 새로 출시된 AppScan 확장으로, 일반적인 클라이언트 보안 취약점을 탐지하기 위해 정적 JavaScript 분석을 수행하는 데 사용됩니다. JSA는 JavaScript 정적 오염 분석 기술과 웹사이트 동적 크롤러 기술을 결합합니다. 즉, AppScan은 크롤러가 탐색한 모든 URL의 전체 HTTP 응답을 저장한 다음 JSA는 이러한 응답 페이지의 JavaScript 코드를 하나씩 분석합니다. JSA는 각 페이지를 분석할 때 데이터 흐름 분석과 문자열 분석이라는 두 단계를 적용합니다. 먼저 JSA는 소스에서 싱크까지 Sanitizer를 거치지 않은 흔적을 찾습니다. 이 추적을 찾을 수 있으면 JSA는 SPA(문자열 접두사 분석)라는 변형된 문자열 분석을 사용하여 두 번째 단계에서 이를 확인합니다. JSA 기술은 순수 JavaScript 코드 정적 분석 기술에 비해 완전히 구문 분석된 HTML 페이지 및 DOM 환경의 보안 취약점을 분석하기 때문에 더욱 진보되고 정확합니다.

오늘날의 Web2.0 웹사이트와 Ajax 애플리케이션에서 HTML 페이지는 브라우저가 서버 응답의 HTML 및 JavaScript 코드를 기반으로 동적으로 구문 분석하여 완전한 HTML 및 DOM을 형성하도록 요구하는 경우가 많습니다. 서버 응답 정적 오염 분석에는 명백한 결함이 있습니다. 테스트하는 JavaScript 코드 및 실행 환경이 반드시 완전하지는 않으므로 테스트의 정확성과 포괄성을 보장할 수 없습니다. JSA는 위의 단점을 극복하고 화이트박스 감지와 블랙박스 감지의 장점을 결합하며 IBM의 문자열 분석 기술을 도입하여 JSA의 정확성과 포괄성을 향상시켰습니다.

AppScan을 사용하여 JavaScript 보안 취약점 탐지

Altoro Mutual은 IBM에서 제공하는 웹 보안 취약점 데모 웹사이트입니다. 아래에서 저자는 독자들에게 이 웹사이트에서 AppScan JSA를 사용하여 JavaScript 보안 취약점을 탐지하는 방법을 보여줍니다.

AppScan을 시작하고 "스캔 - 스캔 구성" 메뉴를 클릭하여 스캔 구성 대화 상자를 열고 시작 URL을 "http://demo.testfire.net"으로 설정합니다.

그림 1. 시작 URL 설정

스캔 구성 대화 상자 왼쪽에서 "로그인 관리"를 클릭한 다음 오른쪽의 "기록..." 버튼을 클릭하여 로그인 프로세스를 기록하여 세션 중에 탐지가 활성화되는지 확인합니다.

그림 2. 로그인 방법 설정

스캔 구성 대화 상자 왼쪽에서 "테스트 전략"을 클릭하여 테스트 전략 설정을 확인하세요. 기본 테스트 전략은 "기본값"이어야 하며, 여기에는 이미 일반적인 JavaScript 테스트가 포함되어 있습니다. "활성화/비활성화"를 클릭하면 현재 기본적으로 활성화된 테스트 전략을 볼 수 있습니다.

그림 3. 테스트 전략 확인

스캔 구성 대화 상자를 닫고 "스캔 - 탐색만" 메뉴를 클릭하거나 바로가기 버튼(그림 4 참조)을 클릭하여 탐색을 시작합니다. 이 문서에서는 JavaScript 보안 취약점을 탐지하는 방법만 설명하므로 "탐색만" 클라이언트 측 JavaScript 분석 테스트 방법을 선택하세요.

그림 4. 탐색 시작

"도구 – 확장 – JavaScript 보안 분석기" 메뉴를 클릭하거나 바로가기 버튼(그림 5 참조)을 클릭하여 "JavaScript 분석"을 엽니다. 팝업 JavaScript 보안 분석기 대화 상자에서 "지금 분석"을 클릭합니다.

그림 5. JavaScript 분석

JavaScript 보안 분석기 검사가 완료되면 발견된 클라이언트 측 JavaScript 보안 취약점이 결과 목록에 나열됩니다. 아래 그림과 같이 Altoro Mutual 사이트에는 'DOM 기반 크로스 사이트 스크립팅' 및 '오픈 리디렉션' 취약점이 있습니다. 해당 취약점에 대한 자세한 내용은 다음과 같습니다.

그림 6. 검사 결과 보기

결과 목록에서 'DOM 기반 교차 사이트 스크립팅'을 확장하고 첫 번째 'JavaScript' 질문을 클릭하면 해당 세부 정보가 아래 질문 정보에 표시됩니다. AppScan은 자바스크립트 문제 코드의 분석 결과를 저장하고 노란색 표시로 소스(Source)와 싱크(Sink)를 찾아 개발자가 빠르게 취약점을 수정할 수 있도록 도와주는 것을 확인할 수 있습니다.

그림 7. DOM 기반 크로스 사이트 스크립팅 문제 정보

마찬가지로 "Open Redirect" 문제를 확장하여 확인하면 이 취약점의 코드 분석 결과가 문제 정보 열에 표시됩니다.

그림 8. 리디렉션 문제 정보 열기

참고:

JavaScript 보안 취약점을 탐지하는 방법을 빠르게 보여주기 위해 이 기사에서는 "탐색만" 클라이언트측 JavaScript 분석 테스트 방법을 선택합니다. 실제 작업에서는 평소대로 스캔만 하면 됩니다(즉, 수동 탐색과 사이트 자동 탐색을 결합한 후 테스트를 실행함). AppScan은 기본적으로 테스트 프로세스 중에 JavaScript Security Analyser를 자동으로 실행합니다.

Rational AppScan Standard는 알려진 일반적인 JavaScript 보안 취약점을 탐지할 수 있지만 Altoro Mutual은 DOM 기반 크로스 사이트 스크립팅 및 리디렉션 취약점만 표시하므로 이 사례의 결과 목록에는 위의 두 가지 보안 취약점만 포함됩니다.

결론

java 기업 수준 범용 권한 보안 프레임워크 소스 코드 SpringMVC mybatis 또는 최대 절전 모드 ehcache shiro druid 부트스트랩 HTML5

이 기사에서는 JavaScript의 일반적인 보안 취약점을 소개하고 JavaScript 코드를 수동으로 감지할 때의 기술적 어려움을 분석합니다. IBM Rational AppScan V8.x는 업계 최초로 클라이언트 측 JavaScript 보안 탐지 솔루션을 제공하는 JSA 확장 구성요소를 새롭게 출시했습니다. 이 기사에서는 JSA의 기본 원칙과 기술적 이점을 독자와 공유하고 사례를 사용하여 IBM Rational AppScan JSA를 사용하여 클라이언트 측 JavaScript 보안을 테스트하는 방법을 독자에게 보여줍니다.

이 글에는 문제점과 한계가 있습니다. 비판을 환영하며 함께 배우고 발전할 수 있습니다.