A05:2021-Security Misconfiguration

소개

본 취약점은 애플리케이션, 서버, 플랫폼, 미들웨어 등의 보안 구성 요소를 올바르게 구성하지 않았을 때 발생하는 취약점입니다. 이러한 취약점을 방지하기 위해서는 기본 설정 값(예: 기본 암호)을 변경하고 보안 설정을 활성화, 보안 업데이트 및 정기적인 감사를 수행하여 취약점을 최소화, 디렉터리 브라우저링과 디버그 모드를 비활성화하고 오류 메시지에서 민감한 정보를 제거합니다. 또한, 시스템의 모든 구성 요소를 검토하여 취약한 구성이나 기본값 설정이 있는지 확인하고, 보안 구성 요소의 적절한 구성 및 구성 요소 간의 상호 작용을 확인합니다. 이를 통해 시스템의 전체적인 보안성을 향상시킬 수 있습니다.

[그림1] Security Misconfiguration 예제

취약한 예

1. 기본 자격 증명: 많은 소프트웨어 시스템은 널리 알려진 기본 사용자 이름과 비밀번호를 가지고 있으며, 공격자가 쉽게 이를 악용할 수 있습니다. 예를 들어, 기본 자격 증명을 사용하여 시스템에 액세스 할 수 있습니다.
2. 보안 설정: 많은 시스템은 보안 설정이 기본적으로 비활성화되어 있거나 적절히 설정되지 않았습니다. 예를 들어, 쿠키를 사용하지 않거나 암호화되지 않은 통신을 허용하는 경우 공격자가 쉽게 중요한 정보를 탈취 할 수 있습니다.
3. 업데이트 및 패치 관리: 업데이트 및 패치가 시스템에서 적절하게 관리되지 않으면 시스템이 취약 상태로 남아있을 수 있습니다. 취약점이 발견되면 패치가 지속적으로 적용되지 않으면 공격자가 쉽게 악용할 수 있습니다.
4. 디렉토리 및 파일 권한: 애플리케이션에서 사용되는 파일과 디렉토리에 대한 권한을 적절하게 설정하지 않으면, 공격자가 시스템에서 중요한 데이터를 읽거나 쓸 수 있습니다.

참고자료

https://owasp.org/Top10

https://www.bugbountyclub.com/