Home | Data Center | Contact US | Login

Á¦¸ñ À©µµ¿ì ȯ°æ¿¡ ModSecurity ¼³Ä¡Çϱâ
÷ºÎÆÄÀÏ 081107_À©µµ¿ì+ȯ°æ¿¡+ModSecurity+¼³Ä¡Çϱâ.pdf ÀÛ¼ºÀÏ 2009-02-02 11:22:53

À©µµ¿ì ȯ°æ¿¡ ModSecurity ¼³Ä¡Çϱâ
¡®2008.11./ÀÎÅͳÝħÇØ»ç°í´ëÀÀÁö¿ø¼¾ÅÍ

1. °³ ¿ä
Apache¿ë °ø°³ À¥¹æÈ­º®ÀÎ ModSecurity¸¦ À©µµ¿ì ±â¹ÝÀÇ Apache, PHP, MySQL ÅëÇÕ ¼Ö·ç¼ÇÀÎ APM_Setup
¿¡ ¼³Ä¡ÇÏ´Â ¹æ¹ýÀ» »ìÆ캻´Ù.
¸®´ª½º ¹× À¯´Ð½º ȯ°æ¿¡¼­ÀÇ Apache, PHP, MySQL µîÀÇ ¼³Ä¡, ¼³Á¤¹ý µî¿¡ Àͼ÷ÇÏÁö ¾ÊÀº »ç¿ëÀÚµéÀº º» APM_Setup µî°ú °°Àº ÅëÇÕ ÆÐÅ°Áö¸¦ ¼³Ä¡ÇÏ¿© »ç¿ëÇÏ´Â °Íµµ µµ¿òÀÌ µÇ¸®¶ó »ý°¢ÇÑ´Ù. APM_SetupÀº ÇöÀç APM_Setup 6 Testing Version±îÁö ¹èÆ÷µÈ »óÅÂÀ̸ç ÆÐÅ°Áö ±¸¼ºÀº ´ÙÀ½°ú °°´Ù.
APM_Setup 6 Testing Version(08. 4. 18)
- Apache 2.2.8 (openssl 0.9.8g)
- PHP 5.2.5
- Zend Optimizer v3.3.3
- MySQL 5.0.51a
- phpmyAdmin 2.11.5.1
Áö¿ø ½Ã½ºÅÛ : NT°è¿­ 2000 / XP / 2003 / Vista

ModSecurity´Â ÇöÀç ¾ÈÁ¤È­ ¹öÀüÀ¸·Î 1.9.x¿Í 2.1.x, 2.5.x ÀÇ ¼¼°¡Áö ¹öÀüÀÌ ¸±¸®Áî µÇ¾îÀÖÀ¸³ª ÇöÀç 1.9.x
¹öÀüÀº 1.9.5¸¦ ¸¶Áö¸·À¸·Î °³¹ßÀÌ Á¾·áµÇ¾ú°í, 2.1.x ¹öÀü ¿ª½Ã 2.1.7 ¹öÀüÀ» ¸¶Áö¸·À¸·Î ÇöÀç´Â 2.5.x ¹öÀü¸¸
ÀÌ °³¹ßµÇ°í ÀÖ´Ù.
À¯´Ð½º °è¿­¿¡¼­ Apache 1.x ¹öÀü¿¡´Â ModSecurity 1.x ¹öÀü´ë¸¸ ¼³Ä¡°¡ °¡´ÉÇϸç Apache2¿¡´Â
ModSecurity 1.x, 2.x ¹öÀüÀÇ ¼³Ä¡°¡ °¡´ÉÇÏ´Ù. ÇÏÁö¸¸ À©µµ¿ì °è¿­¿¡¼­ ModSecurity¸¦ ¼³Ä¡Çϱâ À§Çؼ­´Â
Apache 2.2.x ÀÌ»ó ¹öÀü¿¡¼­¸¸ ¼³Ä¡°¡ °¡´ÉÇÏ´Ï ÀÌÁ¡ À¯ÀÇÇØ¾ß ÇÑ´Ù.

À©µµ¿ì ȯ°æ¿¡ ModSecurity¸¦ ¼³Ä¡Çϱâ À§Çؼ­´Â ±»ÀÌ APM_SetupÀ» ¼³Ä¡ÇØ¾ß ÇÏ´Â °ÍÀÌ ¾Æ´Ï¶ó ÀϹÝÀûÀÎ
À©µµ¿ì¿ë Apache¸¦ ¼³Ä¡ÇÏ¿´À» ¶§µµ ¹æ¹ýÀº µ¿ÀÏÇÏ´Ù.


2. À©µµ¿ì¿¡ ModSecurity ¼³Ä¡

¼³Ä¡È¯°æÀº ´ÙÀ½°ú °°´Ù.
• OS : Windows 2003 Enterprise Edition
• Web Server : APM_Setup 6 Testing Version
• ModSecurity : Mod_Security-2.5.6-win32

¡à ÇÁ·Î±×·¥ ´Ù¿î·Îµå
¼³Ä¡ÇÒ ¸¦ ´Ù¿î·Îµå ÇÏÀÚ ¿©±â¼­ »ç¿ëÇÒ ¹öÀüÀº ¾ÈÁ¤È­ ¹öÀüÀÌ´Ù ModSecurity . ModSecurity-2.5.6 . ¾Æ·¡ »çÀÌ
Æ®¿¡¼­ ´Ù¿î·Îµå ÇÒ ¼ö ÀÖ´Ù.

http://www.modsecurity.org ¡æ ModSecurity °ø½Ä ȨÆäÀÌÁö
http://www.apachelounge.com ¡æ Windows¿ë Apache ¹× ModSecurity¸¦ ´Ù¿î·Îµå ÇÒ ¼ö ÀÖ´Ù.

¡Ø »çÀÌÆ® Á¢¼ÓÀÌ ¿øÈ°ÇÏÁö ¾ÊÀ» °æ¿ì °ø°³ À¥¹æÈ­º® Ä¿¹Â´ÏƼ¿¡¼­ ´Ù¿î·Îµå
´Ù¿î·Îµå : http://www.securenet.or.kr/main.jsp?menuSeq=501 ¡æ Mod_Security-2.5.6-win32.zip ´Ù¿î
APM_SetupÀº http://www.apmsetup.com ¿¡¼­ ´Ù¿î·Îµå ÇÒ ¼ö ÀÖ´Ù. º» °¡À̵忡¼­ APM_Setup 6ÀÇ ¼³Ä¡°ú
Á¤Àº »ý·«ÇÑ´Ù.

Mod_security-2.5.6-win32.zip ÀÇ ¾ÐÃàÀ» ÇØÁ¦ÇÏ¸é ´ÙÀ½°ú °°Àº ÆÄÀϵéÀÌ º¸ÀδÙ.



Readme.txt ÆÄÀÏ¿¡µµ ¼³Ä¡ ¹æ¹ýÀÌ ¼³¸íµÇ¾î ÀÖÀ¸´Ï Âü°íÇÏ¸é µÇ°Ú´Ù.

¡à ÇÁ·Î±×·¥ ¼³Ä¡ ¹× ±âº» ¼³Á¤
¼³Ä¡ÇÏ´Â ¹ýÀº °£´ÜÇÏ´Ù. ÇÊ¿äÇÑ ÆÄÀÏÀ» Copy & Paste ÇÑ µÚ ¼³Á¤ÆÄÀÏÀ» ¼öÁ¤ÇØÁÖ¸é µÈ´Ù. óÀ½ ¾ÐÃàÀ»
ÇØÁ¦Çϸé libxml2.dll ÆÄÀÏ°ú mod_security2.so ÆÄÀÏÀÌ º¸À̴µ¥, ÀÌ µÎ ÆÄÀÏÀ» Apache ÇÏÀ§ÀÇ Modules Æú´õ
³»¿¡ Mod_Security2 Æú´õ¸¦ »ý¼ºÇÏ¿© º¹»çÇÑ´Ù.



ÆÄÀÏÀÇ À§Ä¡¸¦ ·Î Æú´õ°¡ ¾Æ´Ñ ¹Ýµå½Ã °æ·Î·Î º¹»çÇؾ߸¸ ¿Ã¹Ù¸£°Ô modules modules/mod_security2 Àоîµé
ÀÏ ¼ö ÀÖ´Ù.
À©µµ¿ì¿ë Mod_Security ¸ðµâÀº Visual Studio 2008¿¡¼­ °³¹ßÀÌ µÇ¾ú±â ¶§¹®¿¡ VC 2008 Redistributable
Package¸¦ ¼³Ä¡Çؾ߸¸ Á¤»óÀûÀ¸·Î µ¿ÀÛÇÑ´Ù. ´Ù¿î·Îµå´Â ¾Æ·¡ ¸µÅ©¸¦ ÅëÇØ °¡´ÉÇÏ´Ù.



http://www.microsoft.com/downloads/details.aspx?FamilyID=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF&displaylang=en
À§ ÆÄÀÏÀ» ´Ù¿î·Îµå ÇÑ µÚ ½ÇÇàÇÏ¸é ´ÙÀ½°ú °°Àº ¼³Ä¡ È­¸éÀÌ ³ªÅ¸³­´Ù. 'I have read and accept the
license terms' ¿¡ üũÇÑ µÚ ¼³Ä¡¸¦ ÁøÇàÇÑ´Ù.



V3 2008 Package±îÁö ¼³Ä¡ÇÏ¿´´Ù¸é ÀÌÁ¦ ¿¡ ½ÇÁ¦ ¸ðµâÀ» µî·ÏÇØ¾ß VC 2008 Package Apache ÇÑ´Ù.
ApacheÀÇ httpd.conf ÆÄÀÏ¿¡ ´ÙÀ½ ¶óÀÎÀ» Ãß°¡ÇÏÀÚ.
LoadModule unique_id_module modules/mod_unique_id.so // Disable µÇÀÖ´Ù¸é Enable ÇØÁà¾ß ÇÑ´Ù
LoadModule security2_module modules/mod_security2/mod_security2.so // ¸ðµâ ÆÄÀÏ
Include conf/modsecurity_2x_SMB_080929.conf // modsecurity Â÷´Ü »ùÇÃ·ê ·Îµå



APM_Setup 6Àº mod_unique_id.so ¸ðµâÀÌ ±âº»ÀûÀ¸·Î Disable µÇ¾îÀֱ⠶§¹®¿¡ Enable ÇØÁà¾ß ÇÑ´Ù.
unique_id_moduleÀº À¯´Ð½º ȯ°æ°ú ¸¶Âù°¡Áö·Î ModSecurityÀÇ Á¤»óÀûÀÎ ÇÊÅ͸µÀÌ °¡´ÉÇÏ°Ô ÇÏ´Â ¸ðµâÀÌ´Ù.
mod_security_2x_SMB_080929.conf ÆÄÀÏÀº Rule ÆÄÀÏ·Î½á °ø°³ À¥¹æÈ­º® Ä¿¹Â´ÏƼ¸¦ ÅëÇØ Â÷´Ü »ùÇ÷êÀ» ´Ù
¿î·Îµå ÇÒ ¼ö ÀÖ´Ù. Ä¿¹Â´ÏƼ ÀÚ·á½Ç¿¡¼­ ÃֽŠ¹öÀüÀÇ »ùÇ÷êÀ» ´Ù¿î¹Þ¾Æ ¿øÇÏ´Â À§Ä¡¿¡ º¹»çÇÑ µÚ Apache
¼³Á¤ÆÄÀÏ¿¡ Ãß°¡ÇØÁÖÀÚ.

´Ù¿î·Îµå : http://www.securenet.or.kr/main.jsp?menuSeq=501
ÆÄÀÏÀº óÀ½ ¾ÐÃàÀ» ÇØÁ¦ÇÑ À§Ä¡¿¡¼­ Æú´õ¿¡ Rule modsecurity-2.5.6/rules ModSecurity Core RuleÀÌ Á¦°øµÈ
´Ù. ±×·¯³ª RuleÀÌ ¸Å¿ì »ó¼¼ÇÏ¿© ÇØ´ç RuleÀ» ¸ðµÎ Àû¿ëÇÏ°Ô µÇ¸é À¥¼­¹öÀÇ ÆÛÆ÷¸Õ½º¿¡µµ ¿µÇâÀÌ ¹ß»ýÇÒ
¼ö Àֱ⠶§¹®¿¡ ¿ì¸®³ª¶ó ½ÇÁ¤¿¡ ¸Â´Â KISAÀÇ »ùÇ÷êÀ» Àû¿ëÇÏ±æ ±ÇÀåÇÑ´Ù. ±âÁ¸ À¯´Ð½º ±â¹ÝÀÇ Rule ÆÄÀÏ
À» º°´Ù¸¥ ¼öÁ¤ ¾øÀÌ ¹Ù·Î »ç¿ëÇÒ ¼ö ÀÖ´Ù.

¡à ModSecurity µ¿ÀÛ È®ÀÎ
¼³Ä¡¸¦ ¿Ï·áÇÑ µÚ Rule ±îÁö ¼³Á¤À» ´Ù ³¡¸¶ÃÆ´Ù¸é APM_SetupÀ» Àç½ÃÀÛÇÏ¿© Á¦´ë·Î µ¿ÀÛÇÏ´ÂÁö¸¦ È®ÀÎÇØ
º¸ÀÚ. ¾Æ·¡ È­¸éÀº µ¿ÀÛ È®ÀÎÀ» À§ÇÑ Å×½ºÆ® ÆäÀÌÁöÀÌ´Ù.


Àç½ÃÀÛ Çϱâ Àü¿¡ KISAÀÇ »ùÇ÷êÀº ¹èÆ÷½Ã ŽÁö¸ðµå·Î ¹èÆ÷µÇ±â ¶§¹®¿¡ ½ÇÁ¦ Â÷´Ü¸ðµå·Î º¯°æÇÏ¿©
Å×½ºÆ® Çϱâ À§ÇØ ¾Æ·¡ È­¸é°ú °°ÀÌ ¼öÁ¤ÇØÁÖÀÚ.

SecDefaultAction "deny,log,phase:2,status:406,t:urlDecodeUni,t:htmlEntityDecode,t:lowercase"
ÀÌ ¼³Á¤Àº ÆÐÅÏÀÌ ÀÏÄ¡ÇÏ¸é »óÅÂÄڵ带 ³ªÅ¸³»¸ç Â÷´ÜÇÏ°Ô µÇ´Â 406 ¸ðµåÀÌ´Ù.

½ÇÁ¦ ModSecurity°¡ Á¤»óÀûÀ¸·Î µ¿ÀÛÇÏ´ÂÁö ´ÙÀ½ÀÇ PHP Injection °ø°Ý±¸¹®À» ÀÔ·ÂÇØ º¸ÀÚ.
¢Ñ http://www.attacker.com/pw_crack.php


´ÙÀ½°ú °°ÀÌ 'HTTP 406 ½ÂÀÎ ±ÝÁö¡® ÆäÀÌÁö°¡ ³ªÅ¸³µ´Ù.


ModSecurity°¡ Á¤»óÀûÀ¸·Î µ¿ÀÛÇÏ´Â °Í °°À¸´Ï ·Î±×ÆÄÀÏ¿¡´Â ¾î¶»°Ô ±â·ÏµÇ¾ú´ÂÁö »ìÆ캸ÀÚ.

·Î±×ÆÄÀÏÀº »ùÇ÷ê Àû¿ë½Ã ·Î ÇÏÀ§ Æú´õ¿¡ ÆÄÀÏ·Î Default Apache logs modsec_audit.log »ý¼ºµÇµµ·Ï ¼³Á¤
µÇÀÖ´Ù. ÆíÁý±â·Î ÇØ´ç ·Î±×ÆÄÀÏÀ» ¿­¾îº¸ÀÚ.



½ÇÁ¦ Message Ç׸ñÀ» º¸¸é ÆÐÅÏ ¸ÅÄ¡ÇÑ Rule ³»¿ëÀÌ ³ªÅ¸³ª¸ç Á¤»óÀûÀ¸·Î ModSecurity°¡ µ¿ÀÛÇÏ´Â °Í±îÁö
È®ÀÎ ÇÒ ¼ö ÀÖ´Ù.


3. ¸¶Ä¡¸ç..
ÀÌ¿Í °°Àº ¹æ¹ýÀ¸·Î À©µµ¿ì Apache ȯ°æ¿¡¼­ ModSecurity¸¦ Àû¿ëÇÏ´Â ¹ýÀ» ¾Ë¾Æº¸¾Ò´Ù. º» °¡ÀÌµå ¼­µÎ¿¡¼­
¾ð±ÞÇÏ¿´µíÀÌ À©µµ¿ì ±â¹Ý¿¡¼­´Â Apache ¹öÀü¿¡ À¯ÀÇÇؼ­ ¼³Ä¡Çؾ߸¸ ModSecurity°¡ Á¤»óÀûÀ¸·Î µ¿ÀÛÇÒ ¼ö
ÀÖ´Ù.
VC Redistributable Packageµµ ¸¶Âù°¡Áö·Î ¼³Ä¡ ¼ø¼­´Â »ó°ü¾øÀ¸³ª À̸¦ »ý·«ÇÒ °æ¿ì DLL ÆÄÀÏÀ» ·ÎµåÇÒ ½Ã
¿¡·¯°¡ ¹ß»ýÇÏ¿© Apache°¡ ½ÇÇàµÇÁö ¾Ê´Â´Ù.
¼³Ä¡ÇÏ´Â µµÁß ¹ß»ýÇÏ´Â ¹®Á¦Á¡µéÀº À̺¥Æ®ºä¾î(eventvwr.msc)¸¦ ÀÌ¿ëÇÏ¿© »ìÆ캼 ¼ö ÀÖ´Ù.

¸ðµç ¼Ö·ç¼ÇÀÌ ±×·¸µíÀÌ ¼³Ä¡ÇÏÀÚ¸¶ÀÚ ÃÖÀûÀÇ »óÅ·Πµ¿ÀÛÇÏ´Â ¾îÇø®ÄÉÀ̼ÇÀº Á¸ÀçÇÏÁö ¾Ê´Â´Ù.
ModSecurityµµ ¸¶Âù°¡Áö·Î ÃæºÐÇÑ Ä¿½ºÅ͸¶ÀÌ¡ ÀÛ¾÷À» ÅëÇØ ¿ÀŽÀ» ÁÙ¿© ³ª°¡¾ß ÇÑ´Ù. ¼³Ä¡¸¸ ÇÑ´Ù°í ¸ðµç
°ø°ÝÀÌ Â÷´ÜµÉ °Å¶ó°í »ý°¢ÇÏ¸é ¿À»êÀÌ´Ù. º¸´Ù ¿Ïº®ÇÑ ¹æÈ­º® ±â´ÉÀ» ÇÒ ¼ö ÀÖµµ·Ï °ü¸®ÀÚÀÇ Áö¼ÓÀûÀÎ °ü½É
ÀÌ ÇÊ¿äÇÒ °ÍÀÌ´Ù.

[ Reference ]
http://www.modsecurity.org
http://www.apachelounge.com
http://www.apmsetup.com
http://www.krcert.or.kr/firewall2/index.jsp
http://www.securenet.or.kr/main.jsp?menuSeq=496




  ÀÚµ¿È­µÈ SQL Injection °ø°ÝÀ» ÅëÇÑ ¾Ç¼ºÄÚµå ´ë·® »ðÀÔ ¼ö¹ý ºÐ¼®
  À©µµ¿ì 2003 ¼­¹ö iis¿¡ php ¿¬µ¿Çϱâ





ȸ»ç¼Ò°³ °³ÀÎÁ¤º¸Ãë±Þ¹æħ ÀÌ¿ë¾à°ü À̸ÞÀÏÁÖ¼Ò ¹«´Ü¼öÁý°ÅºÎ CONTACT US IDC ¾àµµ
ȸ»ç¼Ò°³ °³ÀÎÁ¤º¸Ãë±Þ¹æħ ÀÌ¿ë¾à°ü À̸ÞÀÏÁÖ¼Ò ¹«´Ü¼öÁý°ÅºÎ CONTACT US IDC ¾àµµ ȸ»ç¼Ò°³ °³ÀÎÁ¤º¸Ãë±Þ¹æħ ÀÌ¿ë¾à°ü À̸ÞÀÏÁÖ¼Ò ¹«´Ü¼öÁý°ÅºÎ CONTACT US IDC ¾àµµ