예전부터 서버, DBMS, 네트워크, WAS, 웹 어플리케이션을 사람의 신체와 매핑하는 시도를 했었다.
서버는 골격, DBMS는 두뇌, 네트워크는 혈관과 근육, WAS는 호흡, 배설근육, 웹 어플리케이션보안시스템은 감각기관 및웹어플리케이션은 행위를 하는 부분(눈, 코, 입, 귀, 손, 발 등)으로 구분하고자 했다. 상상력과 창의력이 부족한 탓도 있지만 비난에 대한 고민이 필요해서 였는지 아직 어딘가에 숨겨져 있다.
아래는 웹 어플리케이션 취약점을 질병과 매핑한 표이다.
증상이나 파급력, 치료 가능에 따라 적어봤다.(욕을 먹거나 흥미를 느낀 사람이 의견을 주겠지. ==3)
코드 | 취약점명 | 설 명 | 비교 |
BO | 버퍼 오버플로우 | 메모리나 버퍼의 블록 크기보다 더 많은 데이터를 넣음으로써 결함을 발생시키는 취약점 | 소화기계통 질환 (or 장티푸스, 볼거리, 홍역) |
FS | 포맷스트링 | 스트링을 처리하는 부분에서 메모리 공간에 접근할 수 있는 문제를 이용하는 취약점 | |
LI | LDAP 인젝션 | LDAP(Lightweight Directory Access Protocol) 쿼리를 주입함으로서 개인정보 등의 내용이 유출될 수 있는 문제를 이용하는 취약점 | |
OC | 운영체제 명령실행 | 웹사이트의 인터페이스를 통해 웹서버를 운영하는 운영체제 명령을 실행하는 취약점 | |
SI | SQL인젝션 | SQL문으로 해석될 수 있는 입력을 시도하여 데이터베이스에 접근할 수 있는 취약점 | 신경계통질환 |
SS | SSI인젝션 | SSI(Server-side Include)는 “Last modified"와 같이 서버가 HTML 문서에 입려갛는 변수 값으로, 웹서버상에 있는 파일을 include 시키고, 명령문이 실행되게 하여 데이터에 접근할 수 있는 취약점 | 소화기계통 질환(설사, 구토) |
XI | XPath 인젝션 | 조작된 XPath(XML Path Language) 쿼리를 보냄으로써 비정상적인 데이터를 쿼리해 올 수 있는 취약점 | |
DI | 디렉토리 인덱싱 | 요청 파일이 존재하지 않을 때 자동적으로 디렉토리 리스트를 출력하는 취약점 | 관절염 |
IL | 정보누출 | 웹 사이트 데이터가 노출되는 것으로 개발과정의 코멘트나 오류 메시지 등에서 중요한 정보가 노출되어 공격자에게 2차 공격을 하기 위한 중요한 정보를 제공할 수 있는 취약점 | 비만 |
CS | 악성콘텐츠 | 웹애플리케이션에 정상적인 컨텐츠 대신에 악성 컨텐츠를 주입하여 사용자에게 악의적인 영항을 미치는 취약점 | 비염 |
XS | 크로스 사이트 스크립팅 | 웹애플리케이션을 사용해서 다른 최종 사용자의 클라이언트에서 임의의 스크립트가 실행되는 취약점 | 감기 |
BF | 약한문자열강도 | 사용자의 이름이나 패스워드, 신용카드 정보나 암호화 키 등을 자동으로 대입하여 여러 시행착오 후에 맞는 값이 발견되는 취약점 | 건망증 |
IA | 불충분한 인증 | 민감한 데이터에 접근할 수 있는 곳에 취약한 인증 메커니즘으로 구현된 취약점 | 시각 장애 |
PR | 취약한 패스워드 복구 | 취약한 패스워드 복구 메커니즘(패스워드 찾기 등)에 대해 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경, 복구할 수 있는 취약점 | 탈모 |
CF | 크로스 사이트 리퀘스트 변조(CSRF) | CSRF 공격은 로그온한 사용자 브라우저로 하여금 사용자의 세션 쿠키와 기타 인증 정보를 포함하는 위조된 HTTP 요청을 취약한 웹애플리케이션에 전송하는 취약점 | 폐렴 |
SE | 세션예측 | 단순히 숫자가 증가하는 방법 등의 취약한 특정 세션의 식별자(ID)를 예측하여 세션을 가로챌 수 있는 취약점 | 수두 |
IN | 불충분한 인가 | 민감한 데이터 또는 기능에 대한 접근권한 제한을 두지 않은 취약점 | 청각 장애 |
SC | 불충분한 세션만료 | 세션의 만료 기간을 정하지 않거나, 만료일자를 너무 길게 설정하여 공격자가 만료되지 않은 세션 활용이 가능하게 되는 취약점 | 불면증 |
SF | 세션고정 | 세션값을 고정하여 명확한 세션 식별자(ID) 값으로 사용자가 로그인하여 정의된 세션 식별자(ID)가 사용 가능하게 되는 취약점 | 홍역 |
AU | 자동화공격 | 웹애플리케이션에 정해진 프로세스에 자동화된 공격을 수행함으로써 자동으로 수많은 프로세스가 진행되는 취약점 | 당뇨병 |
PV | 프로세스 검증누락 | 공격자가 응용의 계획된 플로우 통제를 우회하는 것을 허가하는 취약점 | 면역 결핍 |
FU | 파일업로드 | 파일을 업로드 할 수 있는 기능을 이용하여 시스템 명령어를 실행할 수 있는 웹 프로그램을 업로드 할 수 있는 취약점 | 암 |
FD | 파일 다운로드 | 파일 다운로드 스크립트를 이용하여 첨부된 주요 파일을 다운로드 할 수 있는 취약점 | 장염 |
AE | 관리자 페이지 노출 | 단순한 관리자 페이지 이름(admin, manager 등)이나 설정, 프로그램 설계상의 오류로 인해 관리자 메뉴에 직접 접근할 수 있는 취약점 | 고혈압 |
PT | 경로추적 | 공격자에게 외부에서 디렉터리에 접근할 수 있는 것이 허가되는 문제점으로 웹 루트 디렉터리에서 외부의 파일까지 접근하고 실행할 수 있는 취약점 | 골다공증 |
PL | 위치공개 | 예측 가능한 디렉토리나 파일명을 사용하여 해당 위치가 쉽게 노출되어 공격자가 이를 악용하여 대상에 대한 정보와 민감한 정보가 담긴 데이터에 접근이 가능하게 되는 취약점 | 후유증 트라우마 |
SN | 데이터 평문전송 | 서버와 클라이언트간 통신 시 암호화하여 전송을 하지 않아 중요 정보 등이 평문으로 전송되는 취약점 | 피부병 |
CC | 쿠키변조 | 적절히 보호되지 않은 쿠키를 사용하여 쿠키 인젝션 등과 같은 쿠키 값 변조를 통한 다른 사용자로의 위장 및 권한 상승 등이 가능한 취약점 | 후각 장애 |
댓글 달기