Double Submit 기능이 자동화공격에 대한 방안이 되는 지 여부를 알 고 싶습니다.
- 작성자 :
- 이*수
- 작성일 :
- 2019-09-18 14:55:57
- 조회수 :
- 2,482
- 구분 :
- 운영환경
- 진행상태 :
- 완료
Q
안녕하세요
이번에 웹 취약점 여러 항목 중 자동화 공격에 대한 해결방안을 알아보는 중
전자정부프레임워크에서 Double Submit 기능을 지원하는걸 알게되었습니다.
혹시 자동화공격 ( 게시물 반복적 등록) 부분에서 Double Submit 기능을 사용하면 해결이 되는 건지 정확한 여부를 알고 싶어서
질문을 남깁니다.
감사합니다.
이번에 웹 취약점 여러 항목 중 자동화 공격에 대한 해결방안을 알아보는 중
전자정부프레임워크에서 Double Submit 기능을 지원하는걸 알게되었습니다.
혹시 자동화공격 ( 게시물 반복적 등록) 부분에서 Double Submit 기능을 사용하면 해결이 되는 건지 정확한 여부를 알고 싶어서
질문을 남깁니다.
감사합니다.
A
안녕하십니까, 표준프레임워크센터입니다.
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:com:v3:cmm:doublesubmit
이중등록방지 가이드를 보신 것 같습니다.
게시물 반복 등록 및 동일한 요청을 위키가이드 내에 포함된 아래와 같은 설명으로 방지하고 있습니다.
EgovDoubleSubmitHelper.checkAndSaveToken() 메소드에서 내부적으로 현재 기록된 세션상의 UUID와 파라미터의 UUID 값이 같은지 비교 후, 동일한 경우 새로운 UUID를 세션 상에 기록한 후 return true로 처리된다. 새로운 UUID가 세션에 변경되었기 때문에 동일한 request가 재 호출시 세션의 UUID와 이전 파라미터의 UUID 값이 다르기 때문에 return false로 처리되어 실제 등록 처리 등을 생략할 수 있다.
즉, 내부 세션에 기록된 UUID와 요청의 파라미터 UUID로 동일 값을 가져야 등록이 가능한대, 추가적인 요청에 대해서는 새로운 UUID 값을 만들어 동일하지 못하므로 2차 등록은 방지되는 요소기술입니다.
해당 기능이 방지하는 게시물 반복적 등록 부분에서 자동화 공격은 방어가 되지만,
자동화 공격의 방식 및 기준에 따라 결과가 달라질 수 있으니 해당 공격에 대해 파악하시는게 먼저인 것 같습니다.
감사합니다.
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:com:v3:cmm:doublesubmit
이중등록방지 가이드를 보신 것 같습니다.
게시물 반복 등록 및 동일한 요청을 위키가이드 내에 포함된 아래와 같은 설명으로 방지하고 있습니다.
EgovDoubleSubmitHelper.checkAndSaveToken() 메소드에서 내부적으로 현재 기록된 세션상의 UUID와 파라미터의 UUID 값이 같은지 비교 후, 동일한 경우 새로운 UUID를 세션 상에 기록한 후 return true로 처리된다. 새로운 UUID가 세션에 변경되었기 때문에 동일한 request가 재 호출시 세션의 UUID와 이전 파라미터의 UUID 값이 다르기 때문에 return false로 처리되어 실제 등록 처리 등을 생략할 수 있다.
즉, 내부 세션에 기록된 UUID와 요청의 파라미터 UUID로 동일 값을 가져야 등록이 가능한대, 추가적인 요청에 대해서는 새로운 UUID 값을 만들어 동일하지 못하므로 2차 등록은 방지되는 요소기술입니다.
해당 기능이 방지하는 게시물 반복적 등록 부분에서 자동화 공격은 방어가 되지만,
자동화 공격의 방식 및 기준에 따라 결과가 달라질 수 있으니 해당 공격에 대해 파악하시는게 먼저인 것 같습니다.
감사합니다.