close
프로필 배경
프로필 로고

보안 공부*

업무 · 2023. 10. 31. fullscreen 넓게보기

FORCEFUL_BROWSING (강제 브라우징)

FORCEFUL BROWSING 공격은 웹 응용 프로그램 보안과 관련된 공격 유형 중 하나이다.

이 공격은 공격자가 웹 응용 프로그램의 디렉토리 구조, 파일 시스템 또는 데이터베이스에 접근하려는 시도를 나타낸다.

# 다만 WAF장비에서 RAW Data를 확인 결과 별 다른 공격구문은 확인하지 못했다.

 

아래 글은 OWASP에서 가져온 내용이다.

 

강제 검색은 애플리케이션에서 참조하지 않지만 여전히 액세스할 수 있는 리소스를 열거하고 액세스하는 것이 목표인 공격입니다.

공격자는 무차별 대입 (Brute Force) 기술을 사용하여 임시 디렉터리 및 파일, 오래된 백업 및 구성 파일 등 도메인 디렉터리에서 연결되지 않은 콘텐츠를 검색할 수 있습니다. 이러한 리소스에는 소스 코드, 자격 증명, 내부 네트워크 주소 지정 등과 같은 웹 애플리케이션 및 운영 체제에 대한 민감한 정보가 저장될 수 있으므로 침입자에게 귀중한 리소스로 간주됩니다.

이 공격은 애플리케이션 인덱스 디렉터리 및 페이지가 숫자 생성 또는 예측 가능한 값을 기반으로 하거나 일반 파일 및 디렉터리 이름에 자동화된 도구를 사용하는 경우 수동으로 수행됩니다.

이 공격은 예측 가능한 리소스 위치, 파일 열거, 디렉터리 열거 및 리소스 열거라고도 합니다.

실시예 1

이 예에서는 URL 매개변수를 수정하여 리소스를 수동으로 식별하는 방식을 기반으로 하는 예측 가능한 리소스 위치 공격 기술을 보여줍니다. user1은 다음 URL을 통해 온라인 안건을 확인하려고 합니다.

 www.site-example.com/users/calendar.php/user1/20070715 

URL에서는 사용자 이름( user1)과 날짜(mm/dd/yyyy)를 식별할 수 있습니다. 사용자가 강제 브라우징 공격을 시도하는 경우 다음과 같이 사용자 식별 및 날짜를 ​​예측하여 다른 사용자의 의제를 추측할 수 있습니다.

 www.site-example.com/users/calendar.php/user6/20070716 

다른 사용자의 의제에 액세스하면 공격이 성공한 것으로 간주될 수 있습니다. 인증 메커니즘의 잘못된 구현이 이 공격의 성공에 기여했습니다.

실시예 2

이 예에서는 자동화된 도구를 사용한 정적 디렉터리 및 파일 열거 공격을 보여줍니다.

Nikto 와 같은 검색 도구에는 다음과 같이 잘 알려진 리소스 데이터베이스를 기반으로 기존 파일 및 디렉터리를 검색하는 기능이 있습니다.

/system/ /password/ /logs/ /admin/ /test/

도구가 HTTP 200메시지를 수신하면 해당 리소스가 발견되었으며 귀중한 정보가 있는지 수동으로 검사해야 함을 의미합니다.

*nikto : 6500개 이상의 잠재적으로 위험한 파일을 포함한 여러 항목을 웹 서버에 대한 포괄적 테스트 수행. 다양한 서버에서 특정 문제, 취약점이 있는지 확인하는 오픈소스 웹 서버 스캐너

 

첫줄의 ' 애플리케이션에서 참조하지 않지만 여전히 액세스할 수 있는 리소스를 열거하고 액세스하는 것이 목표인 공격입니다. ' 라는 문구가 잘 이해가 가지 않아서 더 찾아봤다.

 

쉽게 말해 공격자는 웹에서 참조되지 않지만 존재할 가능성이 있는 리소스나 파일을 찾고 브라우저, 도구 등을 사용하여 URL을 직접 수정해 타겟 리소스액세스 하려고 시도한다.

URL을 수정해 타겟 파일 또는 디렉터리에 대한 경로를 직접 입력한다.

그리고 수정한 URL을 통해 서버에 요청을 보내는데 이 요청은 공격자가 액세스 하려는 파일이나 디렉터리를 지정한다.

서버가 요청을 처리하고 요청된 리소스를 반환할 때 공격자는 원하는 데이터나 파일을 액세스하게 된다.

*액세스 : 리소스에 무단으로 접근하거나 해당 리소스를 열람하거나 다운로드하는 것

*리소스 :  웹 애플리케이션 및 웹 사이트에서 사용되는 웹 페이지, 이미지, 스크립트 파일, 스타일 시트, 데이터베이스와 연결된 API 등

 

피해

부적절한 권한 검증 또는 권한 제어 - 웹 응용 프로그램이 사용자의 권한을 충분히 검증하지 않거나 적절하게 제어하지 않는 경우, 공격자는 다른 사용자의 데이터나 시스템 파일에 접근 가능


디렉토리 트래버셜 -  공격자는 파일 시스템 내의 다른 디렉토리로 이동하거나 중요한 파일을 열어 데이터 유출 또는 변조


데이터 누출 - 민감한 데이터, 개인 정보 또는 기밀 정보 누출 시도

 

예방법

권한 검증 및 제어, 입력 유효성 검사, 디렉토리 및 파일 액세스 권한 관리, 보안 헤더 및 방화벽 설정 등으로 예방이 가능하다.

'업무' 카테고리의 다른 글

Extremely Long Parameter (+ header length 공격과 차이점)  (1) 2023.10.31
Header Length Attack (HTTP Overflow)  (0) 2023.10.31
알아두면 좋은 아스키 코드 표  (1) 2023.10.29
알아두면 좋은 URL 인코딩 표  (1) 2023.10.29
semicolon_exep  (0) 2023.10.29
업무 관련 글
더 보기

티스토리툴바