기본적으로 .NET 프레임워크는 새 줄 문자가 HTTP 헤더 값을 설정하는 API로 전송되지 않도록 합니다. 그러나 이 동작은 EnableHeaderChecking 속성을 HttpRuntimeSection 개체에서 false로 설정하면 프로그래밍 방식으로 비활성화할 수 있습니다.

예제 1: 다음 코드는 헤더 검사를 비활성화합니다.

Configuration config = WebConfigurationManager.OpenWebConfiguration("/MyApp");
HttpRuntimeSection hrs = (HttpRuntimeSection) config.GetSection("system.web/httpRuntime");
hrs.EnableHeaderChecking = false;

이 검사를 비활성화하면 헤더 설정 API에 사용자 입력으로 값을 설정할 수 있는 코드는 HTTP Response Splitting 등의 공격에 취약해집니다.

프로그램이 3가지 중 하나의 방법으로 X.509 인증서를 확인하도록 구성할 수 있습니다. 기본적으로 인증서는 신뢰할 수 있는 루트 기관에 대한 신뢰 체인을 통해 검증됩니다. ChainTrust라고 하는 이 설정은 인증서가 유효하다는 최대 수준의 보증을 제공합니다. 기본적으로 모든 인증서는 ChainTrust를 사용하여 검증됩니다.

신뢰할 수 있는 루트 기관에서 발급하지 않은 인증서를 사용하려면 PeerTrust 또는 PeerOrChainTrust를 설정하여 피어가 발급한 인증서를 신뢰하도록 프로그램을 구성할 수 있습니다. 이러한 설정은 인증서에서 부여하는 보안 수준을 크게 낮추기 때문에 운영 환경에서 사용하면 안 됩니다.

쿠키는 주로 개인 정보, 인증 토큰 및 활동 기록과 같은 사용자에 대한 중요한 정보를 저장하는 데 사용됩니다. 이 정보가 일반 텍스트로 저장되면 응용 프로그램과 상호 작용하는 데 사용되는 시스템에 액세스할 수 있는 모든 사람이 쿠키에 저장된 정보에 액세스할 수 있습니다. 설상가상으로 공격자가 쿠키에 저장된 데이터를 임의로 수정할 수 있는 경우 응용 프로그램에 제공된 정보를 왜곡하고 공격자에게 유리하도록 동작을 수정할 수 있습니다.

대부분의 경우, 응용 프로그램이 사용된 컨텍스트에 따라 프로그래밍 방식으로 쿠키에서 입력을 확인할 수 있지만 ASP.NET 검증 프레임워크는 쿠키의 내용을 보호하고 쿠키가 예상치 않게 수정되었음을 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.

web.config에서 configuration/system.web/authentication/forms 요소의 cacheRolesInCookie 속성을 true로 설정하면 각 사용자에 대한 역할이 쿠키에 캐시됩니다. 이 정보가 일반 텍스트로 저장되면 응용 프로그램과 상호 작용하는 데 사용되는 시스템에 액세스할 수 있는 모든 사람이 쿠키에 저장된 정보에 액세스할 수 있습니다. 설상가상으로 공격자가 쿠키에 저장된 데이터를 임의로 수정할 수 있는 경우 응용 프로그램에 제공된 정보를 왜곡하고 공격자에게 유리하도록 동작을 수정할 수 있습니다.

대부분의 경우, 응용 프로그램이 사용된 컨텍스트에 따라 프로그래밍 방식으로 쿠키에서 입력을 확인할 수 있지만 ASP.NET 검증 프레임워크는 쿠키가 예상치 않게 수정되었음을 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.

ASP.NET 웹 서비스는 웹 서비스와의 통신 방법을 설명하는 문서를 자동으로 생성하여 웹 서비스 클라이언트의 개발을 용이하게 합니다.

문서 프로토콜이 활성화된 웹 서비스는 브라우저 요청이 수신될 때 HTML 형식의 페이지를 생성합니다.

이 HTML 형식 페이지는 다음 정보를 설명합니다.
1. 지원되는 작업
2. 각 작업에서 수락하는 매개 변수
3. 해당 매개 변수로 전달되어야 하는 데이터 유형

문서 프로토콜은 XML 형식의 WSDL(웹 서비스 기술 언어) 파일도 생성합니다. 이 파일은 응용 프로그램이 웹 서비스에 대한 요청을 구성하는 방법을 이해할 수 있도록 설계되었습니다. 이 정보는 개발자, 특히 공용 웹 서비스용 클라이언트를 만드는 개발자에게 매우 유용할 수 있습니다. 그러나 개인 웹 서비스의 기능에 대한 자세한 정보를 공개하면 악의적인 공격자가 웹 서비스를 남용할 위험이 높아집니다. 문서 프로토콜은 항상 웹 서비스의 모든 함수와 매개 변수를 설명합니다. 이러한 함수의 일부만 공개적으로 액세스할 수 있도록 의도된 경우에도 마찬가지입니다.

이 ASP.NET Core 응용 프로그램은 보안 연결을 통해서만 액세스할 수 있도록 민감한 특성의 컨트롤러 또는 컨트롤러 메서드를 구성하지 않습니다.

개인 정보, 시스템 정보 등의 중요한 데이터 로깅을 허용하도록 ASP.NET W3Clogger.loggingFields를 구성할 수 있습니다.
이 데이터에는 HTTP 요청 및 HTTP 응답과 관련된 중요한 정보(예: 클라이언트/서버 IP, 서버 포트, 헤더 크키, 서버에 액세스한 인증된 사용자 이름)가 포함될 수 있습니다.
데이터 보안이 위반되면 공격자가 이 정보를 사용하여 다음과 같은 작업을 수행할 수 있습니다.
- 중요한 정보 도용 또는 권한 수준이 더 높은 사용자 가장
- 내부 서버 검색 및 제한된 리소스 무단 액세스 권한 확보
- 탐지된 서버를 대상으로 보고된 알려진 취약점 악용에 주력하는 공격 진행
예제 1: 다음 코드는 확인이 비활성화된 컨트롤러의 작업 메서드를 보여줍니다.

  builder.Services.AddW3CLogging(logging =>
    logging.LoggingFields = W3CLoggingFields.All;
    ... )

Example 1All 플래그를 사용해 ClientIpAddress, ServerName, ServerIpAddress, ServerPort, UserName, Cookie 등의 중요한 데이터를 비롯하여 Http 요청에 포함될 수 있는 모든 필드를 로깅하도록 W3Clogging을 구성하는 방법을 보여줍니다.

ASP .NET 응용 프로그램은 프레임워크 기본 페이지 대신 사용자 지정 오류 페이지를 사용하도록 구성되어야 합니다. 기본 오류 페이지는 발생한 오류에 대한 자세한 정보를 제공하므로 운영 환경에서 사용해서는 안 됩니다. <customErrors> 태그의 mode 속성은 사용자 지정 오류 페이지와 기본 오류 페이지 중 어느 것을 사용할지 결정합니다.

공격자는 기본 오류 페이지에서 얻은 자세한 정보를 이용하여 응용 프로그램이 사용하는 프레임워크, 데이터베이스 또는 기타 리소스를 공격할 수 있습니다.

기본적으로 ASP.NET은 ViewState, FormsAuth cookies 및 ScriptResource.axd URL과 같은 페이로드를 해독하기 전에 암호화 서명을 내부에서 검증하고 추가 처리를 위해 이러한 값을 응용 프로그램에 전달합니다. 그러나 aspnet:UseLegacyEncryption 설정을 사용하여 페이로드 해독 전에 암호화 서명 확인을 비활성화하도록 이 기능을 수정할 수 있습니다. 그러면 악성 클라이언트에서 암호화된 데이터를 해독, 위조 또는 변조할 수 있습니다.

예제 1: 다음 예에서, aspnet:UseLegacyEncryption이 true로 설정됩니다.

...
  <appSettings>
    <add key="aspnet:UseLegacyEncryption" value="true" />
  </appSettings>
...

ASP.NET 응용 프로그램은 ASP.NET 응용 프로그램의 web.config 파일에 있는 <credentials> 요소에 사용자 이름과 암호 쌍을 저장할 수 있습니다. ASP.NET 응용 프로그램은 일반 텍스트, MD5 및 SHA1 암호 형식을 지원합니다.

일반 텍스트로 저장된 암호 또는 약한 암호화 알고리즘을 사용하는 암호는 응용 프로그램의 구성 파일에 액세스할 수 있는 모든 사람이 액세스할 수 있습니다. 여기에는 응용 프로그램이 호스팅되는 시스템 또는 응용 프로그램이 있는 소스 코드 리포지토리가 포함될 수 있습니다.

예제 1: 다음 web.config 항목은 암호를 일반 텍스트로 잘못 저장합니다.

<configuration>
  <system.web>
    <authentication>
      <forms protection="All">
	   <credentials passwordFormat="Clear">
   		<user name="user1" password="my_password"/>
		<user name="user2" password="my_password1"/>
        </credentials>
    	 </forms>
    </authentication>
  </system.web>
</configuration>

ASP.NET은 configuration/system.web/authentication/forms/credentials 요소의 passwordFormat 속성으로 지정되는 3가지 형식으로 저장된 자격 증명 암호를 지원합니다. 이 속성의 가능한 값은 다음과 같습니다.

Clear - 암호가 일반 텍스트로 저장되었음을 나타냄(최소 보안)
MD5 - 암호의 MD5 해시가 저장되었음을 나타냄
SHA1- 암호의 SHA1 해시가 저장되었음을 나타냅니다(최고 보안).

MD5 해시는 일반 텍스트보다 안전하지만 연구원들은 MD5 해시 알고리즘에 대한 무차별 대입 공격을 발견했습니다. 이런 경우더라도 SHA1 해시는 그러한 공격에 대해 적절한 보호를 제공합니다.

FormsAuthentication.RedirectFromLoginPage() 메서드는 지정된 시간 동안 사용자를 인증 상태로 유지하는 authentication 티켓을 발행합니다. 이 메서드가 두 번째 인수 false와 함께 호출되면 이 메서드는 web.config에 지정된 시간 동안 유효한 임시 authentication 티켓을 발행합니다. 두 번째 인수 true와 함께 호출되면 이 메서드는 persistent authentication 티켓을 발행합니다. .NET 2.0에서 persistent authentication 티켓의 수명은 web.config의 값을 따르지만 .NET 1.1에서 persistent authentication 티켓은 지나치게 긴 수명 값(예: 50년)을 가집니다.

persistent authentication 티켓을 장시간 동안 유효하도록 허용하면 사용자 및 시스템에 다음과 같은 취약점이 나타납니다.

로그아웃에 실패한 사용자가 세션 하이재킹 공격에 노출되는 기간이 연장됩니다.

공격자가 추측에 사용할 수 있는 유효한 세션 식별자의 평균 수가 증가합니다.

공격자가 사용자 세션의 하이재킹에 성공하면 익스플로이트 기간이 늘어납니다.

확인되지 않은 입력은 ASP.NET 응용 프로그램 취약점의 주된 원인입니다. 확인되지 않은 입력은 Cross-Site Scripting, Process Control 및 SQL Injection 등 수많은 취약점을 야기할 수 있습니다.

이런 공격을 막기 위해 ASP.NET 검증 프레임워크를 사용하여 응용 프로그램이 처리하기 전에 모든 프로그램 입력을 검사합니다.

검증 프레임워크 사용 예제에는 다음과 같은 검사가 포함됩니다.

- 전화 번호 필드에는 전화 번호로서 유효한 문자만 사용합니다.
- 부울 값은 "T"와 "F"뿐입니다.
- 자유 형식 문자열은 적절한 길이와 구성을 유지합니다.

web.config에서 configuration/system.web/authentication/forms 요소의 cacheRolesInCookie 속성을 true로 설정하면 각 사용자에 대한 역할이 쿠키에 캐시됩니다. 이 정보가 일반 텍스트로 저장되면 응용 프로그램과 상호 작용하는 데 사용되는 시스템에 액세스할 수 있는 모든 사람이 쿠키에 저장된 정보에 액세스할 수 있습니다. 설상가상으로 공격자가 쿠키에 저장된 데이터를 임의로 수정할 수 있는 경우 응용 프로그램에 제공된 정보를 왜곡하고 공격자에게 유리하도록 동작을 수정할 수 있습니다.

대부분의 경우, 응용 프로그램이 사용된 컨텍스트에 따라 프로그래밍 방식으로 쿠키에서 입력을 확인할 수 있지만 ASP.NET 검증 프레임워크는 쿠키가 예상치 않게 수정되었음을 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.

대부분의 웹 응용 프로그램은 일반적으로 쿠키에 저장되고 서버와 웹 브라우저 사이에서 투명하게 전송되는 세션 ID를 사용하여 사용자를 고유하게 식별합니다.


이 속성의 값이 true 또는 UseUri로 설정된 경우 응용 프로그램은 브라우저 또는 장치가 쿠키를 지원하는지 여부와 관계없이 쿠키를 사용하지 않습니다. 이 속성의 값이 AutoDetect 또는 UseDeviceProfile로 설정된 경우 요청 브라우저 또는 장치의 구성에 따라 쿠키가 사용되지 않습니다.

쿠키에 세션 ID를 저장하지 않은 응용 프로그램은 때때로 HTTP 요청 매개변수 또는 URL의 일부로서 세션 ID를 전송합니다. URL에 지정된 세션 ID를 수락하면 공격자가 Session Fixation 공격을 손쉽게 수행할 수 있습니다.

세션 ID를 URL에 배치하면 응용 프로그램에 대한 세션 하이재킹(Session Hijacking) 공격이 성공할 가능성도 높아집니다. 세션 하이재킹(Session Hijacking)은 공격자가 피해자의 활성 세션 또는 세션 ID 제어권을 가져갈 때 발생합니다. 일반적으로 웹 서버, 응용 프로그램 서버 및 웹 프록시는 요청된 URL을 저장합니다. 세션 ID가 URL에 포함되면 ID가 기록됩니다. 세션 ID를 보고 저장할 수 있는 장소의 수가 증가하면 공격자에 의해 손상될 기회가 증가합니다.

추적 디버깅 정보를 출력하도록 ASP.NET 응용 프로그램을 구성할 수 있습니다. Trace output에는 페이지와 활성 세션 상태에 사용된 현재 페이지, 헤더 정보, 메서드 및 제어 관련 요청에 대한 자세한 정보가 있습니다. 공격자는 trace output에서 얻은 자세한 정보를 이용하여 응용 프로그램이 사용하는 프레임워크, 데이터베이스 또는 기타 리소스를 공격할 수 있습니다.

추적 정보는 <page> 지시문의 Trace 속성을 true로 설정하여 페이지 수준에서 활성화되거나 web.config 파일에 trace 속성을 추가하고 enabled 속성을 true로 설정하여 응용 프로그램 수준에서 활성화됩니다.

안전하지 않은 HTTP 헤더 처리는useUnsafeHeaderParsing 속성을 true로 설정하여 존재합니다. 이 설정을 사용하면 HTTP 헤더에 대한 유효성 검사 규칙이 충분하지 않기 때문에 취약한 응용 프로그램에 대한 공격이 가능해집니다.

이 속성이 true로 설정된 경우 다음 유효성 검사가 수행되지 않습니다.

- 줄 끝 코드에는 CRLF를 사용합니다. 별도의 CR 또는 LF는 허용되지 않습니다.
- 헤더 이름에는 공백이 없습니다.
- 첫 번째 상태 줄을 제외한 모든 줄은 잘못된 헤더 이름/값 쌍으로 해석됩니다.
- 상태 줄에는 코드와 설명이 포함되어야 합니다.

또한 이 설정은 금지된 문자와 관련된 특정 예외가 더 이상 발생하지 않음을 의미합니다.

예제 1: 다음 예에서, useUnsafeHeaderParsing이 true로 설정됩니다.

...
<configuration>
   <system.net>
   <settings>
      <httpWebRequest useUnsafeHeaderParsing="true" />
   </settings>
   </system.net>
</configuration>
...

가장 자격 증명을 사용하면 실행 중인 클라이언트의 권한 또는 구성에서 부여된 임의의 권한으로 ASP.NET 응용 프로그램이 실행할 수 있습니다.

ASP.NET에서 보기 상태는 전체 포스트백에서 웹 폼으로 상태를 유지하는 메커니즘입니다. 보기 상태에 저장된 데이터는 재전송 공격을 방지하기 위한 메커니즘이 없기 때문에 신뢰할 수 없습니다. 보기 상태를 신뢰하는 것은 보기 상태 MAC(메시지 인증 확인)가 비활성화되었을 때 특히 위험합니다. MAC을 비활성화하면 공격자는 보기 상태에서 저장된 데이터를 임의로 변경할 수 있으며 보기 상태를 신뢰하는 코드에 대한 공격의 문을 열 수 있습니다. 공격자는 이러한 종류의 오류를 사용하여 MAC을 방어하거나 항목 가격을 수정할 수도 있습니다.
예제 1: 다음 코드는 보기 상태 MAC(메시지 인증 확인)를 비활성화합니다.

Page.EnableViewStateMac = false;

ASP.NET 응용 프로그램은 ASP.NET 응용 프로그램의 web.config 파일에 있는 <credentials> 요소에 사용자 이름과 암호 쌍을 저장할 수 있습니다. ASP.NET 응용 프로그램은 일반 텍스트, MD5 및 SHA1 암호 형식을 지원합니다.

일반 텍스트로 저장된 암호 또는 약한 암호화 알고리즘을 사용하는 암호는 응용 프로그램의 구성 파일에 액세스할 수 있는 모든 사람이 액세스할 수 있습니다. 여기에는 응용 프로그램이 호스팅되는 시스템 또는 응용 프로그램이 있는 소스 코드 리포지토리가 포함될 수 있습니다.

예제 1: 다음 web.config 항목은 암호를 일반 텍스트로 잘못 저장합니다.

<configuration>
  <system.web>
    <authentication>
      <forms protection="All">
	   <credentials passwordFormat="Clear">
   		<user name="user1" password="my_password"/>
		<user name="user2" password="my_password1"/>
        </credentials>
    	 </forms>
    </authentication>
  </system.web>
</configuration>

ASP.NET은 configuration/system.web/authentication/forms/credentials 요소의 passwordFormat 속성으로 지정되는 3가지 형식으로 저장된 자격 증명 암호를 지원합니다. 이 속성의 가능한 값은 다음과 같습니다.

Clear - 암호가 일반 텍스트로 저장되었음을 나타냄(최소 보안)
MD5 - 암호의 MD5 해시가 저장되었음을 나타냄
SHA1- 암호의 SHA1 해시가 저장되었음을 나타냅니다(최고 보안).

MD5 해시는 일반 텍스트보다 안전하지만 연구원들은 MD5 해시 알고리즘에 대한 무차별 대입 공격을 발견했습니다. 이런 경우더라도 SHA1 해시는 그러한 공격에 대해 적절한 보호를 제공합니다.

쓰기, 업데이트 또는 삭제를 통해 데이터를 수정하는 ASP.NET MVC 컨트롤러 작업은 다음 HTTP 동사 중 하나만 수락하도록 제한하는 것이 좋을 수 있습니다. Post, Put, Patch 또는 Delete. 이렇게 하면 실수로 링크를 클릭해도 작업이 실행되지 않으므로 교차 사이트 요청 위조가 어려워집니다.

다음 컨트롤러 작업은 기본적으로 모든 verb를 허용하므로 cross-site request forgery에 취약할 수 있습니다.

public ActionResult UpdateWidget(Model model)
{
  // ... controller logic
}