미들웨어 파이프라인에 올바른 순서로 추가되지 않은 ASP.NET Core 미들웨어는 의도한 대로 작동하지 않아 응용 프로그램이 다양한 보안 문제에 노출될 수 있습니다.

예제 1:UseHttpsRedirection() 메서드는 안전하지 않은 HTTP 요청을 안전한 HTTPS 요청으로 리디렉션할 수 있도록 미들웨어 파이프라인에 HTTPS 리디렉션 미들웨어를 추가합니다. 표시된 대로 잘못된 순서로 지정하면 리디렉션 전에 나열된 미들웨어를 통해 요청을 처리하기 전에 의미 있는 HTTPS 리디렉션이 발생하지 않습니다. 이렇게 하면 안전한 HTTPS 연결로 리디렉션되기 전에 응용 프로그램에서 HTTP 요청을 처리할 수 있습니다.

...
var builder = WebApplication.CreateBuilder(...);
var app = builder.Build(...);
app.UseStaticFiles();
app.UseRouting();
app.UseSession();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
    ...
}

app.UseHttpsRedirection();
...

미들웨어 파이프라인에 올바른 순서로 추가되지 않은 ASP.NET Core 미들웨어는 의도한 대로 작동하지 않아 응용 프로그램이 다양한 보안 문제에 노출될 수 있습니다.

예제 1:UseHttpLogging() 메서드는 미들웨어 구성 요소가 로깅할 수 있도록 미들웨어 파이프라인에 HTTP 로깅 미들웨어를 추가합니다. 표시된 대로 잘못된 순서로 지정하면 UseHttpLogging() 호출 전에 파이프라인에 추가된 미들웨어는 로깅되지 않습니다.

...
var builder = WebApplication.CreateBuilder(...);
var app = builder.Build(...);
app.UseStaticFiles();
app.UseRouting();
app.UseSession();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
    ...
}

app.UseHttpLogging();
...

예제 2:UseWC3Logging() 메서드는 미들웨어 구성 요소가 로깅할 수 있도록 미들웨어 파이프라인에 W3C 로깅 미들웨어를 추가합니다. 표시된 대로 잘못된 순서로 지정하면 UseWC3Logging() 호출 전에 파이프라인에 추가된 미들웨어는 로깅되지 않습니다.

...
var builder = WebApplication.CreateBuilder(...);
var app = builder.Build(...);
app.UseStaticFiles();
app.UseRouting();
app.UseSession();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
    ...
}

app.UseWC3Logging();
...

인증서 확인 모드를 None으로 설정하면 전체 인증 확인 프로세스가 비활성화되므로 응용 프로그램이 MiTM(Man-in-The-Middle: 메시지 가로채기) 공격에 노출됩니다. 운영 환경에서는 이 모드를 사용하면 안 됩니다.

쿠키는 주로 개인 정보, 인증 토큰 및 활동 기록과 같은 사용자에 대한 중요한 정보를 저장하는 데 사용됩니다. 이 정보가 일반 텍스트로 저장되면 응용 프로그램과 상호 작용하는 데 사용되는 시스템에 액세스할 수 있는 모든 사람이 쿠키에 저장된 정보에 액세스할 수 있습니다. 설상가상으로 공격자가 쿠키에 저장된 데이터를 임의로 수정할 수 있는 경우 응용 프로그램에 제공된 정보를 왜곡하고 공격자에게 유리하도록 동작을 수정할 수 있습니다.

대부분의 경우, 응용 프로그램이 사용된 컨텍스트에 따라 프로그래밍 방식으로 쿠키에서 입력을 확인할 수 있지만 ASP.NET 검증 프레임워크는 쿠키의 내용을 보호하고 쿠키가 예상치 않게 수정되었음을 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.

디버그 바이너리를 생성하도록 ASP .NET 응용 프로그램을 구성할 수 있습니다. 이러한 바이너리는 자세한 디버깅 메시지를 제공하므로 운영 환경에서 사용해서는 안 됩니다. <compilation> 태그의 debug 속성은 컴파일된 바이너리에 디버깅 정보를 포함할지 여부를 정의합니다.

디버그 바이너리를 사용하면 응용 프로그램이 사용자에게 가능한 한 많은 정보를 제공하게 됩니다. 디버그 바이너리는 개발 또는 테스트 환경에서 사용하기 위한 것이며 운영 환경에 배포할 경우 보안 위험을 초래할 수 있습니다. 공격자는 디버깅 출력에서 얻은 자세한 정보를 이용하여 응용 프로그램이 사용하는 프레임워크, 데이터베이스 또는 기타 리소스를 공격할 수 있습니다.

ASP.NET 보안 기능인 이벤트 유효성 검사에서는 포스트백 요청에서 이벤트 컨트롤의 유효성을 검사하여 해당 컨트롤이 초기 페이지 로드 중에 렌더링된 것와 같은 상태인지를 확인합니다. 이 기능을 비활성화하면 공격자가 변조된 이벤트 컨트롤을 사용하여 Cross-Site Request Forgery 공격을 수행할 수 있습니다. 그러면 승인되지 않은 액세스, Cross-Scripting 공격 등이 발생할 수 있습니다.

예제 1: 다음 웹 앱 구성은 이벤트 유효성 검사를 비활성화합니다.

...
<system.web>
    ...
    <pages enableEventValidation="false">
    ...
    </pages>
</system.web>

예제 2: 다음 서버 페이지 지시문은 이벤트 유효성 검사를 비활성화합니다.

<%@ Page ... EnableEventValidation="false" %>

세션을 더 오래 열어둘수록, 공격자가 사용자 계정을 손상시킬 수 있는 기회는 더 커집니다. 세션이 활성화 상태라면 공격자는 사용자의 암호를 무차별 대입하거나 사용자의 무선 암호화 키를 불법으로 복제하거나 열려 있는 브라우저에서 세션을 제멋대로 쓸 수도 있습니다. 또한 인증 시간 초과가 길면 메모리가 해제되지 않으며 충분히 많은 수의 세션이 생성되는 경우 결국 Denial of Service가 발생할 수 있습니다.

예제 1: 다음 예제는 인증 시간 초과가 1시간으로 구성된 ASP.NET MVC를 보여줍니다.

...
<configuration>
  <system.web>
  <authentication>
    <forms
      timeout="60" />
  </authentication>
  </system.web>
</configuration>
...

timeout 속성이 지정되지 않은 경우 인증 시간 초과는 기본적으로 30분으로 설정됩니다.

기본적으로 .NET 프레임워크는 새 줄 문자가 HTTP 헤더 값을 설정하는 API로 전송되지 않도록 합니다. 그러나 이 동작은 EnableHeaderChecking 속성을 HttpRuntimeSection 개체에서 false로 설정하면 프로그래밍 방식으로 비활성화할 수 있습니다.

예제 1: 다음 코드는 헤더 검사를 비활성화합니다.

Configuration config = WebConfigurationManager.OpenWebConfiguration("/MyApp");
HttpRuntimeSection hrs = (HttpRuntimeSection) config.GetSection("system.web/httpRuntime");
hrs.EnableHeaderChecking = false;

이 검사를 비활성화하면 헤더 설정 API에 사용자 입력으로 값을 설정할 수 있는 코드는 HTTP Response Splitting 등의 공격에 취약해집니다.

프로그램이 3가지 중 하나의 방법으로 X.509 인증서를 확인하도록 구성할 수 있습니다. 기본적으로 인증서는 신뢰할 수 있는 루트 기관에 대한 신뢰 체인을 통해 검증됩니다. ChainTrust라고 하는 이 설정은 인증서가 유효하다는 최대 수준의 보증을 제공합니다. 기본적으로 모든 인증서는 ChainTrust를 사용하여 검증됩니다.

신뢰할 수 있는 루트 기관에서 발급하지 않은 인증서를 사용하려면 PeerTrust 또는 PeerOrChainTrust를 설정하여 피어가 발급한 인증서를 신뢰하도록 프로그램을 구성할 수 있습니다. 이러한 설정은 인증서에서 부여하는 보안 수준을 크게 낮추기 때문에 운영 환경에서 사용하면 안 됩니다.

쿠키는 주로 개인 정보, 인증 토큰 및 활동 기록과 같은 사용자에 대한 중요한 정보를 저장하는 데 사용됩니다. 이 정보가 일반 텍스트로 저장되면 응용 프로그램과 상호 작용하는 데 사용되는 시스템에 액세스할 수 있는 모든 사람이 쿠키에 저장된 정보에 액세스할 수 있습니다. 설상가상으로 공격자가 쿠키에 저장된 데이터를 임의로 수정할 수 있는 경우 응용 프로그램에 제공된 정보를 왜곡하고 공격자에게 유리하도록 동작을 수정할 수 있습니다.

대부분의 경우, 응용 프로그램이 사용된 컨텍스트에 따라 프로그래밍 방식으로 쿠키에서 입력을 확인할 수 있지만 ASP.NET 검증 프레임워크는 쿠키의 내용을 보호하고 쿠키가 예상치 않게 수정되었음을 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.

web.config에서 configuration/system.web/authentication/forms 요소의 cacheRolesInCookie 속성을 true로 설정하면 각 사용자에 대한 역할이 쿠키에 캐시됩니다. 이 정보가 일반 텍스트로 저장되면 응용 프로그램과 상호 작용하는 데 사용되는 시스템에 액세스할 수 있는 모든 사람이 쿠키에 저장된 정보에 액세스할 수 있습니다. 설상가상으로 공격자가 쿠키에 저장된 데이터를 임의로 수정할 수 있는 경우 응용 프로그램에 제공된 정보를 왜곡하고 공격자에게 유리하도록 동작을 수정할 수 있습니다.

대부분의 경우, 응용 프로그램이 사용된 컨텍스트에 따라 프로그래밍 방식으로 쿠키에서 입력을 확인할 수 있지만 ASP.NET 검증 프레임워크는 쿠키가 예상치 않게 수정되었음을 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.

ASP.NET 웹 서비스는 웹 서비스와의 통신 방법을 설명하는 문서를 자동으로 생성하여 웹 서비스 클라이언트의 개발을 용이하게 합니다.

문서 프로토콜이 활성화된 웹 서비스는 브라우저 요청이 수신될 때 HTML 형식의 페이지를 생성합니다.

이 HTML 형식 페이지는 다음 정보를 설명합니다.
1. 지원되는 작업
2. 각 작업에서 수락하는 매개 변수
3. 해당 매개 변수로 전달되어야 하는 데이터 유형

문서 프로토콜은 XML 형식의 WSDL(웹 서비스 기술 언어) 파일도 생성합니다. 이 파일은 응용 프로그램이 웹 서비스에 대한 요청을 구성하는 방법을 이해할 수 있도록 설계되었습니다. 이 정보는 개발자, 특히 공용 웹 서비스용 클라이언트를 만드는 개발자에게 매우 유용할 수 있습니다. 그러나 개인 웹 서비스의 기능에 대한 자세한 정보를 공개하면 악의적인 공격자가 웹 서비스를 남용할 위험이 높아집니다. 문서 프로토콜은 항상 웹 서비스의 모든 함수와 매개 변수를 설명합니다. 이러한 함수의 일부만 공개적으로 액세스할 수 있도록 의도된 경우에도 마찬가지입니다.

이 ASP.NET Core 응용 프로그램은 보안 연결을 통해서만 액세스할 수 있도록 민감한 특성의 컨트롤러 또는 컨트롤러 메서드를 구성하지 않습니다.

개인 정보, 시스템 정보 등의 중요한 데이터 로깅을 허용하도록 ASP.NET W3Clogger.loggingFields를 구성할 수 있습니다.
이 데이터에는 HTTP 요청 및 HTTP 응답과 관련된 중요한 정보(예: 클라이언트/서버 IP, 서버 포트, 헤더 크키, 서버에 액세스한 인증된 사용자 이름)가 포함될 수 있습니다.
데이터 보안이 위반되면 공격자가 이 정보를 사용하여 다음과 같은 작업을 수행할 수 있습니다.
- 중요한 정보 도용 또는 권한 수준이 더 높은 사용자 가장
- 내부 서버 검색 및 제한된 리소스 무단 액세스 권한 확보
- 탐지된 서버를 대상으로 보고된 알려진 취약점 악용에 주력하는 공격 진행
예제 1: 다음 코드는 확인이 비활성화된 컨트롤러의 작업 메서드를 보여줍니다.

  builder.Services.AddW3CLogging(logging =>
    logging.LoggingFields = W3CLoggingFields.All;
    ... )

Example 1All 플래그를 사용해 ClientIpAddress, ServerName, ServerIpAddress, ServerPort, UserName, Cookie 등의 중요한 데이터를 비롯하여 Http 요청에 포함될 수 있는 모든 필드를 로깅하도록 W3Clogging을 구성하는 방법을 보여줍니다.

ASP .NET 응용 프로그램은 프레임워크 기본 페이지 대신 사용자 지정 오류 페이지를 사용하도록 구성되어야 합니다. 기본 오류 페이지는 발생한 오류에 대한 자세한 정보를 제공하므로 운영 환경에서 사용해서는 안 됩니다. <customErrors> 태그의 mode 속성은 사용자 지정 오류 페이지와 기본 오류 페이지 중 어느 것을 사용할지 결정합니다.

공격자는 기본 오류 페이지에서 얻은 자세한 정보를 이용하여 응용 프로그램이 사용하는 프레임워크, 데이터베이스 또는 기타 리소스를 공격할 수 있습니다.

기본적으로 ASP.NET은 ViewState, FormsAuth cookies 및 ScriptResource.axd URL과 같은 페이로드를 해독하기 전에 암호화 서명을 내부에서 검증하고 추가 처리를 위해 이러한 값을 응용 프로그램에 전달합니다. 그러나 aspnet:UseLegacyEncryption 설정을 사용하여 페이로드 해독 전에 암호화 서명 확인을 비활성화하도록 이 기능을 수정할 수 있습니다. 그러면 악성 클라이언트에서 암호화된 데이터를 해독, 위조 또는 변조할 수 있습니다.

예제 1: 다음 예에서, aspnet:UseLegacyEncryption이 true로 설정됩니다.

...
  <appSettings>
    <add key="aspnet:UseLegacyEncryption" value="true" />
  </appSettings>
...

ASP.NET 응용 프로그램은 ASP.NET 응용 프로그램의 web.config 파일에 있는 <credentials> 요소에 사용자 이름과 암호 쌍을 저장할 수 있습니다. ASP.NET 응용 프로그램은 일반 텍스트, MD5 및 SHA1 암호 형식을 지원합니다.

일반 텍스트로 저장된 암호 또는 약한 암호화 알고리즘을 사용하는 암호는 응용 프로그램의 구성 파일에 액세스할 수 있는 모든 사람이 액세스할 수 있습니다. 여기에는 응용 프로그램이 호스팅되는 시스템 또는 응용 프로그램이 있는 소스 코드 리포지토리가 포함될 수 있습니다.

예제 1: 다음 web.config 항목은 암호를 일반 텍스트로 잘못 저장합니다.

<configuration>
  <system.web>
    <authentication>
      <forms protection="All">
	   <credentials passwordFormat="Clear">
   		<user name="user1" password="my_password"/>
		<user name="user2" password="my_password1"/>
        </credentials>
    	 </forms>
    </authentication>
  </system.web>
</configuration>

ASP.NET은 configuration/system.web/authentication/forms/credentials 요소의 passwordFormat 속성으로 지정되는 3가지 형식으로 저장된 자격 증명 암호를 지원합니다. 이 속성의 가능한 값은 다음과 같습니다.

Clear - 암호가 일반 텍스트로 저장되었음을 나타냄(최소 보안)
MD5 - 암호의 MD5 해시가 저장되었음을 나타냄
SHA1- 암호의 SHA1 해시가 저장되었음을 나타냅니다(최고 보안).

MD5 해시는 일반 텍스트보다 안전하지만 연구원들은 MD5 해시 알고리즘에 대한 무차별 대입 공격을 발견했습니다. 이런 경우더라도 SHA1 해시는 그러한 공격에 대해 적절한 보호를 제공합니다.

FormsAuthentication.RedirectFromLoginPage() 메서드는 지정된 시간 동안 사용자를 인증 상태로 유지하는 authentication 티켓을 발행합니다. 이 메서드가 두 번째 인수 false와 함께 호출되면 이 메서드는 web.config에 지정된 시간 동안 유효한 임시 authentication 티켓을 발행합니다. 두 번째 인수 true와 함께 호출되면 이 메서드는 persistent authentication 티켓을 발행합니다. .NET 2.0에서 persistent authentication 티켓의 수명은 web.config의 값을 따르지만 .NET 1.1에서 persistent authentication 티켓은 지나치게 긴 수명 값(예: 50년)을 가집니다.

persistent authentication 티켓을 장시간 동안 유효하도록 허용하면 사용자 및 시스템에 다음과 같은 취약점이 나타납니다.

로그아웃에 실패한 사용자가 세션 하이재킹 공격에 노출되는 기간이 연장됩니다.

공격자가 추측에 사용할 수 있는 유효한 세션 식별자의 평균 수가 증가합니다.

공격자가 사용자 세션의 하이재킹에 성공하면 익스플로이트 기간이 늘어납니다.

확인되지 않은 입력은 ASP.NET 응용 프로그램 취약점의 주된 원인입니다. 확인되지 않은 입력은 Cross-Site Scripting, Process Control 및 SQL Injection 등 수많은 취약점을 야기할 수 있습니다.

이런 공격을 막기 위해 ASP.NET 검증 프레임워크를 사용하여 응용 프로그램이 처리하기 전에 모든 프로그램 입력을 검사합니다.

검증 프레임워크 사용 예제에는 다음과 같은 검사가 포함됩니다.

- 전화 번호 필드에는 전화 번호로서 유효한 문자만 사용합니다.
- 부울 값은 "T"와 "F"뿐입니다.
- 자유 형식 문자열은 적절한 길이와 구성을 유지합니다.

web.config에서 configuration/system.web/authentication/forms 요소의 cacheRolesInCookie 속성을 true로 설정하면 각 사용자에 대한 역할이 쿠키에 캐시됩니다. 이 정보가 일반 텍스트로 저장되면 응용 프로그램과 상호 작용하는 데 사용되는 시스템에 액세스할 수 있는 모든 사람이 쿠키에 저장된 정보에 액세스할 수 있습니다. 설상가상으로 공격자가 쿠키에 저장된 데이터를 임의로 수정할 수 있는 경우 응용 프로그램에 제공된 정보를 왜곡하고 공격자에게 유리하도록 동작을 수정할 수 있습니다.

대부분의 경우, 응용 프로그램이 사용된 컨텍스트에 따라 프로그래밍 방식으로 쿠키에서 입력을 확인할 수 있지만 ASP.NET 검증 프레임워크는 쿠키가 예상치 않게 수정되었음을 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.