ASP.NET 보안 기능인 이벤트 유효성 검사에서는 포스트백 요청에서 이벤트 컨트롤의 유효성을 검사하여 해당 컨트롤이 초기 페이지 로드 중에 렌더링된 것와 같은 상태인지를 확인합니다. 이 기능을 비활성화하면 공격자가 변조된 이벤트 컨트롤을 사용하여 Cross-Site Request Forgery 공격을 수행할 수 있습니다. 그러면 승인되지 않은 액세스, Cross-Scripting 공격 등이 발생할 수 있습니다.

예제 1: 다음 웹 앱 구성은 이벤트 유효성 검사를 비활성화합니다.

...
<system.web>
    ...
    <pages enableEventValidation="false">
    ...
    </pages>
</system.web>

예제 2: 다음 서버 페이지 지시문은 이벤트 유효성 검사를 비활성화합니다.

<%@ Page ... EnableEventValidation="false" %>

기본적으로 .NET 프레임워크는 새 줄 문자가 HTTP 헤더 값을 설정하는 API로 전송되지 않도록 합니다. 그러나 이 동작은 EnableHeaderChecking 속성을 HttpRuntimeSection 개체에서 false로 설정하면 프로그래밍 방식으로 비활성화할 수 있습니다.

예제 1: 다음 코드는 헤더 검사를 비활성화합니다.

Configuration config = WebConfigurationManager.OpenWebConfiguration("/MyApp");
HttpRuntimeSection hrs = (HttpRuntimeSection) config.GetSection("system.web/httpRuntime");
hrs.EnableHeaderChecking = false;

이 검사를 비활성화하면 헤더 설정 API에 사용자 입력으로 값을 설정할 수 있는 코드는 HTTP Response Splitting 등의 공격에 취약해집니다.

이 ASP.NET Core 응용 프로그램은 보안 연결을 통해서만 액세스할 수 있도록 민감한 특성의 컨트롤러 또는 컨트롤러 메서드를 구성하지 않습니다.

개인 정보, 시스템 정보 등의 중요한 데이터 로깅을 허용하도록 ASP.NET W3Clogger.loggingFields를 구성할 수 있습니다.
이 데이터에는 HTTP 요청 및 HTTP 응답과 관련된 중요한 정보(예: 클라이언트/서버 IP, 서버 포트, 헤더 크키, 서버에 액세스한 인증된 사용자 이름)가 포함될 수 있습니다.
데이터 보안이 위반되면 공격자가 이 정보를 사용하여 다음과 같은 작업을 수행할 수 있습니다.
- 중요한 정보 도용 또는 권한 수준이 더 높은 사용자 가장
- 내부 서버 검색 및 제한된 리소스 무단 액세스 권한 확보
- 탐지된 서버를 대상으로 보고된 알려진 취약점 악용에 주력하는 공격 진행
예제 1: 다음 코드는 확인이 비활성화된 컨트롤러의 작업 메서드를 보여줍니다.

  builder.Services.AddW3CLogging(logging =>
    logging.LoggingFields = W3CLoggingFields.All;
    ... )

Example 1All 플래그를 사용해 ClientIpAddress, ServerName, ServerIpAddress, ServerPort, UserName, Cookie 등의 중요한 데이터를 비롯하여 Http 요청에 포함될 수 있는 모든 필드를 로깅하도록 W3Clogging을 구성하는 방법을 보여줍니다.

FormsAuthentication.RedirectFromLoginPage() 메서드는 지정된 시간 동안 사용자를 인증 상태로 유지하는 authentication 티켓을 발행합니다. 이 메서드가 두 번째 인수 false와 함께 호출되면 이 메서드는 web.config에 지정된 시간 동안 유효한 임시 authentication 티켓을 발행합니다. 두 번째 인수 true와 함께 호출되면 이 메서드는 persistent authentication 티켓을 발행합니다. .NET 2.0에서 persistent authentication 티켓의 수명은 web.config의 값을 따르지만 .NET 1.1에서 persistent authentication 티켓은 지나치게 긴 수명 값(예: 50년)을 가집니다.

persistent authentication 티켓을 장시간 동안 유효하도록 허용하면 사용자 및 시스템에 다음과 같은 취약점이 나타납니다.

로그아웃에 실패한 사용자가 세션 하이재킹 공격에 노출되는 기간이 연장됩니다.

공격자가 추측에 사용할 수 있는 유효한 세션 식별자의 평균 수가 증가합니다.

공격자가 사용자 세션의 하이재킹에 성공하면 익스플로이트 기간이 늘어납니다.

안전하지 않은 HTTP 헤더 처리는useUnsafeHeaderParsing 속성을 true로 설정하여 존재합니다. 이 설정을 사용하면 HTTP 헤더에 대한 유효성 검사 규칙이 충분하지 않기 때문에 취약한 응용 프로그램에 대한 공격이 가능해집니다.

이 속성이 true로 설정된 경우 다음 유효성 검사가 수행되지 않습니다.

- 줄 끝 코드에는 CRLF를 사용합니다. 별도의 CR 또는 LF는 허용되지 않습니다.
- 헤더 이름에는 공백이 없습니다.
- 첫 번째 상태 줄을 제외한 모든 줄은 잘못된 헤더 이름/값 쌍으로 해석됩니다.
- 상태 줄에는 코드와 설명이 포함되어야 합니다.

또한 이 설정은 금지된 문자와 관련된 특정 예외가 더 이상 발생하지 않음을 의미합니다.

예제 1: 다음 예에서, useUnsafeHeaderParsing이 true로 설정됩니다.

...
<configuration>
   <system.net>
   <settings>
      <httpWebRequest useUnsafeHeaderParsing="true" />
   </settings>
   </system.net>
</configuration>
...

ASP.NET에서 보기 상태는 전체 포스트백에서 웹 폼으로 상태를 유지하는 메커니즘입니다. 보기 상태에 저장된 데이터는 재전송 공격을 방지하기 위한 메커니즘이 없기 때문에 신뢰할 수 없습니다. 보기 상태를 신뢰하는 것은 보기 상태 MAC(메시지 인증 확인)가 비활성화되었을 때 특히 위험합니다. MAC을 비활성화하면 공격자는 보기 상태에서 저장된 데이터를 임의로 변경할 수 있으며 보기 상태를 신뢰하는 코드에 대한 공격의 문을 열 수 있습니다. 공격자는 이러한 종류의 오류를 사용하여 MAC을 방어하거나 항목 가격을 수정할 수도 있습니다.
예제 1: 다음 코드는 보기 상태 MAC(메시지 인증 확인)를 비활성화합니다.

Page.EnableViewStateMac = false;

ASP.NET MVC는 폼 측에 antiforgery 토큰을 추가하고 컨트롤러에서 이 antiforgery 토큰을 확인하여 cross-site request forgery로부터 응용 프로그램을 보다 효율적으로 보호하는 편리한 방법을 제공합니다. 이 토큰은 사용 시 보통 숨겨진 폼 필드로 포함되고 폼 전송 시 확인되기 때문에 요청이 응용 프로그램에서 보낸 것이며 위조되지 않은 것일 가능성이 높아집니다.

다음 컨트롤러 코드에는 기본 제공되는 cross-site request forgery 방어 기법이 포함되어 있지 않습니다.

public ActionResult ActionName(Model model, string returnurl)
{
  // ... controller logic
}

ASP.NET MVC는 HTML 폼에 antiforgery 토큰을 추가하고 컨트롤러에서 해당 antiforgery 토큰을 확인하여 cross-site request forgery로부터 응용 프로그램을 보다 효율적으로 보호하는 편리한 방법을 제공합니다. 이 토큰은 사용 시 보통 숨겨진 폼 필드로 포함되고 폼 전송 시 확인되기 때문에 요청이 응용 프로그램에서 보낸 것이며 위조되지 않은 것일 가능성이 높아집니다.

일반적으로 프로그래머는 이 antiforgery 토큰을 포함해야 합니다. 그러면 응용 프로그램에 대한 악성 스크립팅이 더 어려워지기 때문입니다.

예제 1: 다음 Razor 코드는 기본 제공 교차 사이트 요청 위조 방어 기능을 추가하지 않고 결과 HTML에 양식을 만듭니다.

@using (Html.BeginForm(new { ReturnUrl = ViewBag.ReturnUrl })) {
  // ... form elements
}

Example 2::The following Razor code creates a form in the resulting HTML without the built-in defense against cross-site request forgery. Note that parameter antiforgery is set to either false or null:

@using (Html.BeginForm("actionName", "controllerName", routeValues, FormMethod.Post, antiforgery: false, htmlAtts)) {
  // ... form elements
}

NSURLConnectionDelegate.connection(_:willSendRequestFor:) 대리자 메서드를 사용하면 대리자가 연결 인증에 대해 정보에 기반한 결정을 즉시 내릴 수 있습니다. 대리자가 이 메서드를 구현하는 경우, NSURLConnectionDelegate.connection(_:canAuthenticateAgainstProtectionSpace:) 또는 NSURLConnectionDelegate.connection(_:didReceive:) 메서드를 구현할 필요가 없습니다. 사실, 이런 메서드는 호출되지 않으므로 해당 메서드에 대한 모든 보안 검사는 무시됩니다.

서버 신뢰 자격 증명을 생성하기 전에, 신뢰 체인을 평가하는 것은 NSURLConnection 개체, NSURLSession 개체 또는 NSURLDownload 개체 대리자의 책임입니다.

예제 1: 다음 코드는 비평가 서버 신뢰를 사용하여 NSURLCredential을 초기화합니다.

-(void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * credential)) completionHandler {
        ...
        [challenge.sender useCredential:[NSURLCredential credentialForTrust: challenge.protectionSpace.serverTrust] forAuthenticationChallenge:challenge];
        ...
}

서버 신뢰 자격 증명을 생성하기 전에, 서버 신뢰를 평가하는 것은 NSURLConnection 개체, NSURLSession 개체 또는 NSURLDownload 개체 대리자의 책임입니다. 서버 신뢰를 평가하기 위해 SecTrustEvaluate(_:_:) 메서드는 서버의 NSURLProtectionSpace 개체의 serverTrust 메서드로부터 얻은 신뢰를 사용하여 호출되어야 합니다.

SecTrustEvaluate(_:_:) 메서드는 두 개의 다른 값을 반환합니다.

- 반환된 OSStatus 값은 결과 코드를 나타냅니다.
- 두 번째 인수가 가리키는 개체는 평가의 결과 유형을 나타냅니다.

신뢰가 유효하지 않은 경우, cancel(_:)로 인증 챌린지를 취소해야 합니다.

예제 1: 다음 예제에서는 서버 신뢰가 평가되지만 수신된 자격 증명은 이 평가의 결과를 확인하지 않고 사용됩니다.

SecTrustRef trust = [[challenge protectionSpace] serverTrust];
SecTrustResultType result = kSecTrustResultInvalid;
OSStatus status = SecTrustEvaluate(trust, &result);
completionHandler(NSURLSessionAuthChallengeUseCredential, [challenge proposedCredential]);

NSURLProtectionSpace 개체는 서버 또는 서버의 영역(일반적으로 영역(realm)으로 불림)을 나타내며, 인증이 필요합니다.
보호 공간에 대해 인증이 필요한 URL 연결을 설정하는 경우 NSURLConnectionDelegate.connection(_:canAuthenticateAgainstProtectionSpace:) 메서드는 인증을 수행해야 하는 NSURLConnectionDelegate.connection(_:didReceive:) 메서드를 호출하기 바로 전에 호출됩니다. 이렇게 하면 보호 공간에 대한 인증을 시도하기 전에 NSURLConnectionDelegate가 보호 공간을 검사할 수 있습니다. true를 반환함으로써 대리자는 인증 형식을 처리할 수 있음을 나타냅니다(인증 형식 처리는 connection(_:didReceive:)에 대한 후속 호출을 통해 처리됨). 해당 대리자가 이 메서드를 구현하지 않고 보호 공간이 클라이언트 인증서 인증 또는 서버 신뢰 인증을 사용하는 경우 시스템은 사용자의 키 집합을 사용하여 인증하려고 시도하는데, 이것은 원하는 동작이 아닐 수 있습니다.

응용 프로그램은 NSURLConnection 또는 NSURLSession 콜백을 구현하여 인증 요청을 처리합니다. 예상 호스트에서 인증 요청이 나오도록 확인하는 것을 잊어버리면 자격 증명은 응용 프로그램이 로드하는 모든 URL에 전송됩니다. 또한, 자격 증명이 안전하게 전송될 수 있음을 확인하지 못하면 자격 증명이 도난됩니다.

예제 1: 다음 응용 프로그램은 사용자 자격 증명을 인증을 요청하는 모든 호스트에 전송합니다.

- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NS URLAuthenticationChallenge *)challenge completionHandler:(void (^)(NS URLSessionAuthChallengeDisposition, NSURLCredential *))completionHandler { 
    NSString *user = [self getUser]; 
    NSString *pass = [self getPassword]; 

    NSURLCredential *cred = [NSURLCredential credentialWithUser:user 
    password:pass persistence:NSURLCredentialPersistenceForSession]; 
    completionHandler(NSURLSessionAuthChallengeUseCredential, credential);
} 

느슨한 액세스 구성은 시스템을 불필요하게 노출시키고 조직의 공격 표면을 확장합니다. 공개 상호 작용이 가능한 서비스는 일반적으로 악의적인 엔터티의 거의 지속적인 검색 및 조사에 노출됩니다.

이는 노출된 서비스에 대한 제로데이 익스플로이트가 검색되어 게시되는 경우(예: Heartbleed) 특히 문제가 됩니다. 공격자는 패치되지 않고 노출된 시스템을 적극적으로 추적하고 검색하여 악용할 수 있습니다.

예제 1: 다음 Ansible 작업은 SSH 서버에서 일반적으로 수신 연결 요청에 응답하는 데 사용되는 TCP 포트 22를 전 세계에 공개(0.0.0.0/0)하는 AWS 보안 그룹을 정의합니다.

- name: Task to open SSH port
  amazon.aws.ec2_group:
    name: demo_security_group
    description: Open the ssh port to the world
    state: present
    vpc_id: 123456
    region: us-west-1
    rules:
    - proto: tcp
        ports: 22
        cidr_ip: 0.0.0.0/0

Lambda 보안 주체에 대한 와일드카드 구성은 최소 권한 원칙을 위반하고 공격자가 모든 계정에서 Lambda를 호출할 수 있도록 합니다.

예제 1: 다음 예제 Ansible 작업은 와일드카드 Lambda 보안 주체를 정의합니다.

- name: Create Lambda policy statement for S3 event notification
  community.aws.lambda_policy:
    action: lambda:InvokeFunction
    function_name: functionName
    principal: *
    statement_id: lambda-s3-demobucket-access-log
    source_arn: arn:aws:s3:us-west-2:123456789012:demobucket
    source_account: 123456789012
    state: present

Amazon Redshift 클러스터는 기본적으로 공개적으로 액세스할 수 없습니다.

클러스터에 대한 공개 액세스를 활성화하면 조직의 공격 표면이 더 넓어집니다.

예제 1: 다음 예제는 publicly_accessible 매개 변수를 yes로 설정하여 Amazon Redshift 클러스터에 대한 공개 액세스를 명시적으로 활성화하는 Ansible 작업을 보여줍니다.

- name: example1
  community.aws.redshift:
    identifier: mycluster
    command: create
    db_name: mydb
    node_type: ds1.xlarge
    username: "{{ username }}"
    password: "{{ password }}"
    publicly_accessible: yes

S3 버킷에 대한 공개 액세스의 잘못된 구성은 데이터 침해의 주요 원인입니다.

S3 버킷은 기본적으로 공개 액세스를 차단하지만 권한이 있는 모든 사용자는 공개 액세스를 허용하도록 버킷 정책 또는 ACL(Access Control List)을 업데이트할 수 있습니다.

암호화되지 않은 블록 장치를 매핑하는 Amazon EC2 AMI는 데이터를 무단 액세스 및 도난 가능성에 노출시킵니다.

예제 1:encrypted 매개 변수가.false로 설정되어 있기 때문에 다음 Ansible 작업은 Amazon EC2 AMI를 생성한 후 미사용 데이터 암호화 없이 블록 장치를 AMI에 연결합니다.

- name: Basic AMI Creation
  amazon.aws.ec2_ami:
    state: present
    instance_id: i-xxxxxx
    name: test_ami
    device_mapping:
      device_name: /dev/sda
      encrypted: false

기본적으로 EFS 파일 시스템은 암호화되지 않습니다. 그러면 데이터가 무단 액세스 및 도난 위험에 노출됩니다.

예제 1: 다음 Ansible 작업은 encrypt 매개 변수가 no로 설정되어 있기 때문에 미사용 데이터 암호화 없이 EFS 파일 시스템을 설정합니다.

- name: EFS provisioning
  community.aws.efs:
    state: present
    name: myTestEFS
    encrypt: no
    targets:
      - subnet_id: subnet-12345678
        security_groups: [ "sg-87654321" ]