다음을 통해 공유

  • 아티클

Communicator Web Access에 대한 위협 요소

마지막으로 수정된 항목: 2009-03-09

이 항목에서는 Communicator Web Access에 대한 잠재적 위협 요소에 대해 설명합니다.

세션 고정

세션 고정 공격자는 사용자와 웹 서버 간에 세션이 설정되기 전에 사용자 세션의 토큰을 설정합니다. 그러면 공격자가 세션 ID를 확보하게 되므로 세션 설정 후에 ID를 확인할 필요가 없습니다. Communicator Web Access는 이러한 위협 요소를 최소화하도록 설계되었습니다.

세션 하이재킹

세션 하이재킹 공격자는 네트워크에서 암호화되지 않은 트래픽을 스니프하여 사용자 세션에 액세스합니다. Communicator Web Access는 클라이언트와 Communicator Web Access 서버 간의 기본 통신 프로토콜로 SSL을 사용함으로써 이러한 위협을 최소화합니다.

세션 라이딩/이중 라이딩

세션 라이딩은 공격자가 사용자와 웹 기반 응용 프로그램 간에 설정된 세션을 사용하여 사용자로 가장해 명령을 실행하는 것입니다. 공격자는 이를 위해 사용자에게 전자 메일 메시지를 보내거나 사용자가 악성 코드 실행 전용으로 개발된 웹 사이트를 방문하도록 유도합니다. 공격자가 실행할 수 있는 명령에는 방화벽 열기, 데이터 삭제, 내부 네트워크 내에서 기타 명령 실행 등이 있습니다.

Communicator Web Access는 공격자가 이러한 방법으로 악성 웹 사이트를 통해 사용자의 Communicator Web Access 세션을 제어하지 못하도록 설계됩니다.

교차 사이트 스크립팅(CSS, XSS, 코드 삽입)

교차 사이트 스트립팅 공격(CSS, XSS 또는 코드 삽입 공격이라고도 함)은 공격자가 웹 응용 프로그램을 통해 보통 스크립트 형태의 악성 코드를 대상 사용자에게 보내는 것입니다. 대상 사용자의 브라우저에서는 이 스크립트를 신뢰할 수 없음을 확인할 수 없기 때문에 스크립트를 실행합니다. 악성 스크립트가 실행되면 쿠키, 세션 토큰 또는 최종 사용자 브라우저에서 보존하는 기타 중요 정보에 액세스할 수 있습니다. 이러한 스크립트는 HTML 페이지 내용을 다시 작성할 수도 있습니다.

교차 사이트 스크립팅 공격은 저장되거나 리플렉션될 수 있습니다. 저장된 공격은 악성 스크립트가 손상된 웹 서버(예: 데이터베이스, 메시지 포럼, 방문자 로그, 메모 필드)에 영구적으로 저장되는 공격입니다. 사용자가 웹 서버에 액세스하면 사용자 브라우저가 스크립트를 실행합니다. 리플렉션된 교차 사이트 스크립팅 공격에서 사용자는 공격용 거짓 링크를 클릭하거나 악성 코드가 들어 있는 공격용 양식을 전송합니다. 사용자가 링크를 클릭하여 양식 데이터를 전송하면 악성 코드가 포함된 URL이 사용자 데이터와 함께 웹 서버로 발송됩니다. 해당 웹 사이트에 사용자 정보가 다시 표시될 때 이 정보는 신뢰할 수 있는 소스에서 보낸 정보처럼 보입니다. 그러나 이 정보에는 악성 코드가 포함되어 있으며, 이 악성 코드는 사용자 컴퓨터에서 실행됩니다.

사용자 입력의 유효성을 제대로 검사하지 않는 웹 사이트에는 이러한 취약점이 있습니다. Communicator Web Access는 광범위한 사용자 입력 유효성 검사를 사용해 이 위협을 차단합니다.

토큰 위협 요소

HTTP는 연결이 없는 프로토콜이며 각 웹 페이지는 여러 서버 요청 및 응답이 있어야 완성됩니다. 다양한 방법을 통해 세션 중에 페이지 요청 간의 세션 지속성이 유지 관리됩니다. 웹 서버에서 사용하는 방법은 요청을 생성하는 클라이언트 브라우저로 토큰을 발급하는 것입니다. Communicator Web Access에서도 이 방법을 사용합니다.

Communicator Web Access 서버는 내부 또는 외부 사용자를 인증한 후에 토큰을 세션 쿠키로 발급하며, 이 쿠키가 클라이언트에게 반환됩니다. 이 쿠키를 사용해 단일 세션에서 서버에 액세스합니다. 따라서 올바른 작동을 위해서는 Communicator Web Access 서버의 쿠키를 허용하도록 클라이언트가 구성되어 있어야 합니다. 공격자가 이 토큰을 훔쳐 다시 사용할 수 있습니다. Communicator Web Access는 세션 쿠키만 발급하고, SSL(활성화된 경우)을 사용해 토큰을 전송하며, 세션이 종료되면 토큰을 지우고, 클라이언트가 일정 기간 동안 작업하지 않으면 토큰이 만료되도록 하여 토큰 위협을 완화합니다.

토큰 ping

토큰 ping(토큰 연결 유지라고도 함) 시에는 인증된 사용자가 웹 서버로 반복해서 요청을 보내 세션(궁극적으로는 세션 토큰)이 만료되지 않도록 합니다. 토큰 ping 공격은 서버에서 기본 제공되는 제한 시간 논리를 우회하므로 위협 요소로 간주할 수 있습니다. 그러나 토큰 ping 시에는 사용자가 인증되어야 하므로 위협 수준은 낮습니다.

피싱(Password Harvesting Fishing)

피싱은 스푸핑을 사용하는 메시지 가로채기(man-in-the-middle) 공격의 일종입니다. 이 공격에서는 권한이 없는 공격자가 정보를 볼 수 있는 권한이 있는 엔터티로 가장하여 정보를 얻으려고 합니다. 공격자는 이를 위해 일반적으로 사용자가 가짜 웹 사이트, 웹 양식 또는 전자 메일 메시지에 암호나 계좌 번호를 입력하도록 유도합니다. 최종 사용자에게 공격자가 개인 정보를 얻기 위해 사용하는 방법을 교육해야 합니다.