'Expression language injection'

Expression Language Injection

Expression Language Injection은 Expression Language(EL)를 사용하는 웹 애플리케이션을 대상으로 하는 사이버 보안 공격입니다. EL은 웹 페이지 내에서 동적 콘텐츠를 포함시키기 위해 사용되는 스크립트 언어입니다. EL 인터프리터의 취약점을 악용하여 공격자는 임의의 명령을 실행하거나 민감한 데이터에 무단으로 접근하기 위해 악성 코드를 주입할 수 있습니다.

Expression Language Injection 작동 방식

1. 식별: 공격자는 먼저 동적 웹 콘텐츠 생성을 위해 표현 언어에 의존하는 웹 애플리케이션을 식별합니다.

2. 코드 주입: 이후 악성 코드가 대상 웹 애플리케이션의 입력 필드나 매개변수에 주입됩니다. 이를 위해 사용자 입력 폼, HTTP 요청 매개변수 또는 쿠키와 같은 다양한 방법을 사용할 수 있습니다.

3. 악용: 주입된 코드는 시스템 변수, 파일 접근 명령 또는 다른 시스템 수준의 작업을 참조하는 지시문이나 표현식을 포함할 수 있습니다. 웹 서버가 주입된 표현 언어를 처리할 때 이 코드를 해석하고 평가하여 공격자의 명령을 실행합니다.

4. 무단 접근: 주입된 코드의 성격에 따라 공격자는 민감한 데이터에 무단으로 접근하거나 애플리케이션의 동작을 조작하거나 심지어 전체 시스템을 위협할 수 있습니다.

예방 팁

Expression Language Injection 공격의 위험을 완화하기 위해 다음 예방 조치를 고려해 보십시오:

1. 입력 검증: 사용자 입력에 대해 엄격한 입력 검증 및 sanitize 기술을 적용하세요. 이는 임의의 명령 실행을 방지하고 애플리케이션이 올바르고 예상된 입력만 처리하도록 보장합니다.

2. 보안 설정: 시스템 자원에 대한 접근을 제한하는 등의 보안 조치를 적용하도록 웹 애플리케이션 서버를 구성하세요. 이는 공격 표면을 제한하고 민감한 파일이나 기능에 대한 무단 접근을 방지하는 데 도움이 됩니다.

3. 최소 권한의 원칙: 웹 애플리케이션에 필요한 자원에 대해서만 권한 및 접근 권한을 부여하는 최소 권한의 원칙을 따르세요. 애플리케이션에 부여된 권한을 최소화함으로써 공격 성공 시 잠재적인 영향을 크게 줄일 수 있습니다.

예시

예시 1: 시스템 정보 접근

java ${'Operating System: ' + java.lang.System.getProperty('os.name') }

이 예시에서는 공격자가 java.lang.System.getProperty 함수를 사용하여 운영 체제 이름을 검색하는 표현식을 주입합니다. 이 주입을 실행함으로써 공격자는 민감한 시스템 정보를 수집할 수 있습니다.

예시 2: 파일 접근

java ${ T(java.lang.Runtime).getRuntime().exec('cat /etc/passwd') }

이 예시는 Unix-like 시스템에서 암호 파일의 내용을 표시하는 cat /etc/passwd 명령을 실행하려는 코드 주입을 보여줍니다. 성공할 경우 공격자는 파일에 저장된 민감한 사용자 정보에 접근할 수 있습니다.

관련 용어

• Cross-Site Scripting (XSS): 악성 스크립트가 다른 사용자가 보는 웹 페이지에 주입되는 또 다른 유형의 웹 애플리케이션 공격입니다.
• SQL Injection: 웹 애플리케이션의 취약점을 악용하여 무단 SQL 명령을 실행하는 공격입니다.
• Code Injection: 애플리케이션의 동작을 변경하거나 무단으로 접근하기 위해 악성 코드를 주입하는 일반적인 개념입니다.

참고: 제공된 예방 팁과 예시는 Expression Language Injection에 대한 이해를 높이기 위한 일반적인 지침으로 제공됩니다. 이러한 조치를 구현하는 것만으로는 가능한 모든 변형 공격으로부터 보호 받음을 보장하지 않을 수 있습니다. 정기적인 보안 테스트, 모니터링 및 최신 보안 관행에 대한 정보를 유지하는 것이 웹 애플리케이션의 보안을 유지하는 데 중요합니다.