# 생성형AI를 활용한 AI보안관제 및 통합로그 분석
- 4일차
- 학업으로 인해 주말에 내용 추가 예정

# 웹 응용프로그램 취약점
## 목차
- 웹 응용프로그램 이해
- 주요 웹 응용프로그램 취약점
 

## 웹 응용프로그램 이해
- 응용프로그램: 애플리케이션 또는 앱이라고도 하며 **사용자가 요구하는 특정 기능을 수행 및 처리하기 위한 목적의 컴퓨터 프로그램**
- 웹 응용프로그램: 웹 환경에서 동작되는 웹 기술 기반의 응용프로그램
- 웹 응용플그램의 특성: 24시간 구동 및 서비스되며 정보통신망에 연결된 누구나 접근 가능한 반면, 눈에 보이지 않는 사이버공격을 정확하게 탐지하는 것에는 제한

- 우리나라에서는 설계, 개발 단계에서의 보안에 대한 인식이 좋지 않다.
- 문제가 생겼을 때 막으면 된다라는 생각을 가진 사람들이 생각보다 많고, 보안관제가 모든 걸 해결할 수 있는 것도 아니기에 근본적인 해결을 위한 노력이 필요하다.(설계 및 개발 단계에서의 보안이 미흡하면 언젠가 사고가 날 수 밖에 없는 구조)

- OWASP Top 10: OWASP에서 선정한 웹 응용프로그램 보안위험 목록
    1. 취약한 접근제어
    2. 실패한 암호화
    3. 인젝션
    4. 안전하지 않은 설계
    5. 잘못된 보안 환경구성
    6. 취약하며 오래된 구성요소
    7. 실패한 식별 및 인증
    8. 실패한 소프트웨어 및 자료 무결성
    9. 실패한 보안 기록(로깅) 및 모니터링
    10. 위조된 서버 사이드 요청(SSRF)


- 여러 보안 관련 문서들은 영문서가 많아 영어 공부는 필수!

## 주요 웹 응용프로그램 취약점
### 주요 취약점: 디렉토리 인덱싱/정보누출/불충분한 인가

- 디렉토리 인덱싱: 웹 응용프로그램 내 특정 경로에 초기 페이지에 대한 파일이 존재하지 않을 때 해당 경로 내 폴더 및 파일 목록을 표시하는 취약점

- 정보 누출: 개인정보, 계정정보, 금웅정보 등 중요한 정보가 비인가자에게 노출되거나 웹 응용프로그램 오류 발생 시 웹 서버 및 응용프로그램에 대한 과도한 정보가 노출되는 취약점

- 불충분한 인가: 접근제어가 필요한 중요한 페이지에 대한 통제 수단이 미흡하여 비인가자가 접근할 수 있도록 허용하는 취약점

### 문제점
- 공격자는 디렉토리 인덱싱으로 인해 노출된 폴더 및 파일 목록을 토대로 웹 응용프로그램의 구조를 파악하여 공격에 활용하기 위한 단서를 수집할 가능성
- 디렉터리 인덱싱으로 인해 설정 파일/백업 파일/임시 파일이 노출되거나 정보 누출로 인해 웹 서버 및 웹 응용프로그램에 대한 과도한 정보가 노출되면 공격자로 하여금 공격에 활용할 수 있는 단서를 유추하게 할 가능성
- 불충분한 인가로 인해 비인가자가 URL 매개변수(인자) 값 변경 등과 같은 단순한 방법만으로 중요한 페이지에 접근하여 민감한 정보를 열람하거나 변조할 가능성
- 개인정보, 계정정보, 금융정보 등 중요한 정보가 권한이 없는 비인가자에게 노출되는 그 자체가 곧 정보유출 사고

### 실습 전 환경 설정
- 설정 --> 시스템 --> 선택적 기능 --> 기타 Windows 기능 켜기/끄기
- 인터넷 정보 서비스  하위 폴더에서
    - 응용 프로그램 개발 기능: .net 붙은 것 제외하고 체크
    - 성능 기능: 동적 컨텐츠 압축 체크
    - 상태 및 진단: 전부 체크
    - WWW서비스: 보안 --> 요청 필터링만 체크
    - 일반적인 HTTP 기능: WebDAV제외 전부 체크
    - 웹 관리 도구ㅣ IIS 관리 콘솔 체크

- 확인 후 다운로드 적용 누르기


- 제어판 --> 시스템 및 보안 --> Windows Tools --> IIS 선택 --> 메뉴 확인
- 사이트 --> 기본 웹 사이트: 중지
    - 웹 사이트 추가
    - 사이트 이름: TEST
    - 실제 경로: C\WEB(추가) 
    - 확인(중복 바인딩 추가: 예)

- 이 후 WEB 디렉터리(생성한 디렉터리)에 텍스트 문서 추가(default.asp)
- 코드 추가 
- **.net을 추가하지 않은 클래식(구버전) 사용 중이기에 파일 형식에 모든 파일에 인코딩 ANSI로 체크 후 저장해야함**

In [None]:
# HTMP로 문서 작성
<%
    Dim rGuestbook
    rGuestbook = Request.Form("txtGuestbook")
<!DOCTYPE html>
<html>
    <head>
        <title> 웹 응용프로그램 테스트 </title>
        <style>
            div { difplay: block; }
            textarea { font-size: 14px; }
            button { background-color: #ff0000; color: #ffff00; }
            #display { margin-top: 30px; width: 300px; height: 100px; background-color: #efefef; }
        </style>
        <script type="text/javascript">
         function onSave() {
            var sGuestbook =document.getElementById("txtGuestbook").value;
            
            if (sGeustbook){
                nGuestbook = sGuestbook.trim().length;
            }

            if  (nGuestbook <= 0){
                alert("내용을 입력한 후 저장 버튼을 클릭하십시오.");
                return false;
            }
            
            return true;
        }
        </script>
    </head>
    <body>
        <div id="header">
        </div>
        <div id="contents">
            <form methond="post" onsubmit="javascript:onSave();">
            <div id="guestbook">
                <p>내용을 작성한 후 [저장하기] 버튼을 클릭하십시오.</p>
                <textrea id="txtGuestbook" name="txtGuestbook"></textrea>
            </div>
            <div id="options">
                <button id="btnSave" >저장하기</button>
            </div>
            </form>
            <div id="display">
                <%= rGuestbook %>
            </div>
        </div>
        <div id="footer"
        </div>
    </body>
</html>


### 실습1 파일 다운로드
- 파일 다운로드: 웹 응용프로그램 내 파일 다운로드 기능 호출 시 허용된 경로가 아닌 다른 경로에 존재하는 권한 없는 파일에 접근할 수 있는 취약점
    - 예: 웹 서버 내 시스템 디렉터리 등
- 문제점: 공격자가 매개변수 조작으로 웹 서버 내 중요한 파일을 다운로드하면 정보 유출이나 2차 공격의 원인으로 작용될 가능성 존재
    - 중요 파일: 데이터베이스 파일, 웹 응용프로그램 설정값이 포함된 파일, 시스템 계정 및 비밀번호 파일, 시스템 설정 파일 등

- 


### 실습2 파일 업로드
- 파일 업로드: 웹 응용프로그램 내 파일 업로드 기능을 활용하여 파일 업로드 시 웹 서버에서 실행 가능한 파일을 통제하지 못하는 취약점
- 문제점: 공격자가 웹쉘 등 웹 서버에서 실행 가능한 파일을 업로드하고 실행하여 시스템 관리자 권한을 획득하거나 연결된 인접 서버로 횡적 이동할 가능성

### 실습3 크로스 사이트 스크립팅(XSS)

### 실습4 SQL 인젝션
- SQL의 문법(주석 처리 관련)을 이용하여 where부분을 주로 공격함
- 비밀번호의 경우 암호화 저장 --> 로그인을 할 때에도 암호화 된 비밀번호를 사용
    -  웹 프로그램 코드에서 처리하는 경우
    - DBMS 쿼리에서 처리하는 경우
- 최근 암호화에는 SHA2 이상의 암호화를 권장, SHA1과 중복 해시값이 생길 수 있어 2만 사용하는 것을 권장함.

- where (이메일) =
    - 위 형식에서 ('' or 1=1;#) 괄호 안의 문을 넣어 아이디를 유추할 수 있다.

- 아이디가 'sys'인 경우
    - where (이메일) = 'sys' AND (비밀번호) = SHA2('', 0) OR 1=1); #',xxx); 
    - 이런 방식으로 뚫을 수 있다.

- 대응방책
    - 입력값 검증
        - 완전한 방법은 아니다. 입력값 중 작은 따옴표가 없는 경우도 있기 때문에 권장되는 해결책은 아니다.
    - 준비된 구문(Prepared Statement) 방법이 가장 적절한 해결방법으로 여겨진다. 질의문을 먼저 준비해둔 상태에서 값을 바인딩하는 방식으로 구현한다. 
        - 질의문과 사용자의 값을 분리하는 기법이다.
        - 값이 결과에만 영향을 줄 수 있게 하는 방법이다. 값으로 인해 SQL 구문이 변형되지 않도록 하여 방지한다.
        - DBMS의 성능 향상이 원래 목적이었지만, 보안적인 이슈까지 해결할 수 있게 되었다.
    - 객체관계 매핑
        - 객체 코드를 관계형 데이터베이스에 연결하는 방식으로 구현. 단, 데이터베이스 계층을 추상화하기 때문에 데이터에 대한 사전 지식이 필요하며, 데이터베이스 성능에 영향을 미칠 가능성이 있는 방책
        - 현재 개발자들의 수준이 떨어지고 있다는 의견이 있어 앞으로도 쓰일지는 불분명하다.

# 웹 방화벽(WAF)
- 웹 응용프로그램에 대한 HTTP/HTTPS 트래픽을 모니터링하여 악성 요청을 차단하는 방화벽


### 작동원리
- 트래픽 모니터링: 웹 애플리케이션으로 들어오는 모든 HTTP/HTTPS 요청을 실시간으로 모니터링
- 패턴 매칭: OWASP Top 10 취약점과 같은 공통 보안 취약점에 대응하기 ㅜ이해 사전에 정의된 보안 규칙 세트를 사용하여 악성패턴 식별
- 행동 분석
- 요청 차단

### 주요 기능

### WAF의 한계

## ModSecurity
- 웹 서비스의 공격을 효과적으로 차단할 수 있는 공개 웹 응용프로그램 방화벽 모듈

### 주요 특징
- 오픈 소스
- 확장 가능성
- 실시간 트래픽 분석
- 광범위한 공격 방어



## 보안 정책 및 규칙
- 시스템이나 조직에서 보안을 유지하기 위해 설정한 규칙과 절차로, ModSecurity에서는 이러한 보안 정책을 규칙 파일로 정의하여 웹 응용프로그램을 보호

## 기본 보안 정책

### 설정파일 옵션

### 기본 규칙 작성 원칙

### SecRule의 동작

## SecRule 변수

### 요청 변수

### 응답 변수

### 환경 변수

### 기타 변수

## OWASP CRS
- Core RuleSet
- ModSecurity에서 사용할 수 있는 기본 보안 규칙 세트로, 다양한 웹 응용프로그램 공격에 대해 사전에 정의된 규칙 제공
- 커스터마이징 가능하여 특정 상황에 맞게 규칙을 조정하여 사용한다.
- 대부분의 XSS, SQL Injection 공격 뿐만 아니라 다양한 규칙이 존재하여 많은 공격을 방어할 수 있다.
- 웬만한 침해시도는 다 막음

## 고급 보안 정책

## 정규표현식

### 정규표현식 필요성

## SecRule 변수

### 고급 변수

### 상태 변수

### 논리 연산자

### 문자열 연산자

### 기타 연산자


## 사용자 정의 규칙

## 실시간 모니터링 및 알림 설정

## ELK Stack 설정

## 실시간 공격 탐지의 이해

## WAF의 실시간 탐지 및 차단

### ELK Stack의 이해

## ModeSecurity 실습