웹2.0은 비지니스적 마인드에서 나온 용어지, 결코 기술적으로 새로운 개념이 결합된 형태는 아니다. 종전에 부각되지 못했던 기술들을 좀더 발전 시켜 적용하면서 좀 더 그럴사한 웹2.0의 기술인 것으로 치부될 뿐이다.
웹2.0이라고 해서 보안적으로 크게 달라질 이슈는 없다. 단, 사용환경의 변화에 맞춰 위협의 범위 및 대상이 좀더 가변적이 되거나 유연한 형태를 가지고 있다는 데에는 충분히 고려하여 보안 대책을 강구해야 할 것이다.
======================================================================================================================================
웹2.0이라고 해서 보안적으로 크게 달라질 이슈는 없다. 단, 사용환경의 변화에 맞춰 위협의 범위 및 대상이 좀더 가변적이 되거나 유연한 형태를 가지고 있다는 데에는 충분히 고려하여 보안 대책을 강구해야 할 것이다.
======================================================================================================================================
“웹2.0 시대의 보안은 Ajax, XML, RSS 등에 무게를 둬야한다” 보안업체 인젠은 19일 가진 세미나에서 웹2.0에 맞춘 보안기술을 소개하며, Ajax, XML, RSS 등을 특히 주시해야 함을 강조했다.
인젠 컨설팅본부 한강희 선임은 “웹2.0이라 해서 전혀 새로운 차원의 위협이 존재하는 것은 아니다”라며 “단 공격이 개방형 환경에 맞춰 웜과 같은 형태로 진화함은 사실”이라고 말했다.
Ajax 공격으로 쿠키 등 정보 빼내
인젠이 설명하는 웹2,0은 우선, 서버 사이드에서 XML 기반 웹 서비스가 분산된 애플리케이션에 대한 접근을 제공한다. 반면 클라이언트 사이드에서는 Ajax와 RIA(Rich Internet Application)가 인터페이스를 지원하는 구조가 일반적이다.
여기서 Ajax가 취약한 이유는 XSS(Cross-Site Scripting) 공격에 노출되기 때문이다. 이는 특정 사이트의 악의적인 자바스크립트 코드가 브라우저에 실행되면서 정보를 유출하는 공격이다. 특히 개인 쿠키를 공격자가 관리하는 사이트로 전송하는 문제가 심각하다.
Ajax는 또한 사용자가 모르게 XMLHTTPreqest object를 Silent Call을 보내 쿠키를 재전송할 수 있다. 이때 공격자는 악의적 목적으로 Silent Ajax 코드를 조작해 활용할 수 있다.
한강희 선임은 “웹2.0 애플리케이션은 클라이언트 사이드에서 Ajax가 많은 일을 담당하고 있다”며 “여기서의 데이터 타입, 내용, 데이트 필드 등에 대한 검사는 반드시 서버 사이드에서도 함께 실행해야 안전하다”고 설명했다.
XML 파싱 엔진 망가지면 Dos 방어력 둔화
XML 부문에서는 서버의 ‘XML 파싱(parsing)’ 엔진을 공격하는 패턴이 성행하고 있다. 일단 XML 파싱 엔진이 망가지면 ‘Dos(서비스거부)’ 공격에 대한 방어력이 현저히 줄어든다.
또 RSS 관련공격은 비교적 근래에 나온 방식으로, 악의적 자바스크립트를 RSS에 삽입한다. 이렇게 하면 해당 RSS의 피드가 읽혀질 때마다 공격자가 특정 소프트웨어를 설치하거나 쿠키를 훔칠 수 있다.
한강희 선임은 “이같은 공격들을 방어하기 위해 지속적으로 입력 값을 검증해야 한다”며 “소셜 네트워크가 발달할수록 보안에 대한 불감증을 경계하는 것이 중요하다”고 조언했다. @
출처 : ZDNet Korea
인젠 컨설팅본부 한강희 선임은 “웹2.0이라 해서 전혀 새로운 차원의 위협이 존재하는 것은 아니다”라며 “단 공격이 개방형 환경에 맞춰 웜과 같은 형태로 진화함은 사실”이라고 말했다.
Ajax 공격으로 쿠키 등 정보 빼내
인젠이 설명하는 웹2,0은 우선, 서버 사이드에서 XML 기반 웹 서비스가 분산된 애플리케이션에 대한 접근을 제공한다. 반면 클라이언트 사이드에서는 Ajax와 RIA(Rich Internet Application)가 인터페이스를 지원하는 구조가 일반적이다.
여기서 Ajax가 취약한 이유는 XSS(Cross-Site Scripting) 공격에 노출되기 때문이다. 이는 특정 사이트의 악의적인 자바스크립트 코드가 브라우저에 실행되면서 정보를 유출하는 공격이다. 특히 개인 쿠키를 공격자가 관리하는 사이트로 전송하는 문제가 심각하다.
Ajax는 또한 사용자가 모르게 XMLHTTPreqest object를 Silent Call을 보내 쿠키를 재전송할 수 있다. 이때 공격자는 악의적 목적으로 Silent Ajax 코드를 조작해 활용할 수 있다.
한강희 선임은 “웹2.0 애플리케이션은 클라이언트 사이드에서 Ajax가 많은 일을 담당하고 있다”며 “여기서의 데이터 타입, 내용, 데이트 필드 등에 대한 검사는 반드시 서버 사이드에서도 함께 실행해야 안전하다”고 설명했다.
XML 파싱 엔진 망가지면 Dos 방어력 둔화
XML 부문에서는 서버의 ‘XML 파싱(parsing)’ 엔진을 공격하는 패턴이 성행하고 있다. 일단 XML 파싱 엔진이 망가지면 ‘Dos(서비스거부)’ 공격에 대한 방어력이 현저히 줄어든다.
또 RSS 관련공격은 비교적 근래에 나온 방식으로, 악의적 자바스크립트를 RSS에 삽입한다. 이렇게 하면 해당 RSS의 피드가 읽혀질 때마다 공격자가 특정 소프트웨어를 설치하거나 쿠키를 훔칠 수 있다.
한강희 선임은 “이같은 공격들을 방어하기 위해 지속적으로 입력 값을 검증해야 한다”며 “소셜 네트워크가 발달할수록 보안에 대한 불감증을 경계하는 것이 중요하다”고 조언했다. @
출처 : ZDNet Korea
'Security_Space' 카테고리의 다른 글
| ISA서버 활용가이드 (3) | 2007.10.01 |
|---|---|
| 블루투스 모바일 기기「보안에 빨간 불」 (1) | 2007.09.28 |
| 주민번호 대체수단「아이핀」문제점 속출 (0) | 2007.09.19 |
| MS, 해커 테마로 한 블로그 개설 (0) | 2007.08.30 |
| 보안적합성 인증「현장서 실력 보여라」 (0) | 2007.08.28 |