보안업체 Port Swigger에서 "2021년에 등장한 웹 해킹 기술 톱 10"을 발표했다.
"2021년에 등장한 웹 해킹 기술 톱 10"은 Port Swigger가 매년 수행하고 있는 과거 1년간 발표된 웹 보안에 관한 연구 중 가장 중요한 것을 특정하기 위한 노력의 2021년판이다. 2022년 1월에 전형 프로세스를 시작해, 정보 시큐러티 커뮤니티로부터 추천된 40건의 연구 논문 중에서, 마음에 드는 논문에 투표하게 해, 최종 후보를 15건까지 좁히고, 마지막에는 저명한 시큐러티 전문가에 의한 패널이 톱 10을 선출했다.
이 중에서 테크닉 톱 5를 살펴보자.
■ 1. 소프트웨어 패키지를 이용하여 대기업을 해킹하는 방법
가장 영향력있는 해킹 기법으로 선정된 것은, 보안연구가인 Alex Birsan 씨가 고안한 "소프트웨어 패키지를 이용해 대기업을 해킹하는 방법"이다. Birsan 씨가 고안 한 것은 "기업이 소프트웨어에 이용하는 내부 패키지를, 악의가 있는 코드를 넣은 공개 패키지로 바꾼다"라고 하는 것.
이 수법에 대해서, 전문가 패널은 "이 공격파에 대해서는, 아직 논의가 진행중이며, 이 연구가 어디에 도달하는지를 나를 포함한 많은 시큐러티 연구자가 알고 싶다고 생각하고 있습니다. 공격은 매우 우아합니다만, 개선할 여지는 없는 것일까요? 아니면, 이것은 영속적인 새로운 공격 클래스의 겸허한 시작에 지나지 않는 것일까요?"라고 적어, 향후의 경과에도 주목해야 한다고 하고 있다.
■ 2. HTTP/2 비동기 공격, 요청 터널링, 익스플로잇 프리미티브
HTTP/2용 비동기 공격, 비동기 공격을 이용한 리퀘스트 터널링, 그리고 HTTP/2에 존재하는 익스플로잇 프리미티브를 공유한 Port Swigger의 블로그 포스트가 2위에 랭크.
전문가 패널은 "이 연구는 독자가 필요로하는 모든 것을 갖추고 있습니다. 실제의 연구와 결과에 가세해 질 높은 문장, 툴, 그리고 프레젠테이션이, 이 연구를 매우 특별하게 하고 있습니다", "이 블로그 포스트는 HTTP/2가 얼마나 터무니없이 전체의 상황을 복잡화시키고 있는가에 대해서 나타내는 훌륭한 연구입니다. HTTP/2가 아직 채택되고 있기 때문에, 리퀘스트 스매글링은 끝날 수 없는 HTTP의 다운 그레이드 및 업그레이드를 빌어 한층 더 관련성을 높여갈 것입니다"라고 기술하고 있다.
■ 3. Microsoft Exchange의 새로운 공격 대상 영역
Microsoft Exchange에 존재하는 취약성에 대해 연구하는 대만을 거점으로 활동하는 보안 연구자 Orange Tsai 씨가 발표한 "Microsoft Exchange의 새로운 공격 대상 영역"이 3위에 랭크. 또한 Tsai 씨의 연구는 5년 연속으로 Port Swigger의 "웹 해킹 기술 톱 10"에 랭크되어 있다.
전문가 패널은 Tsai 씨의 발견에 대해서, "Microsoft Exchange의 아키텍처와 공격 대상에 대해 완벽하게 소개해, 확실한 익스프로이트와 큰 임펙트를 주고 있습니다", "진지하게 연구를 시작하고 싶은 사람에게는 자극적인 엔트리입니다", "인가의 메일 솔루션에 대한 많은 사람들의 견해를 바꾸어, 가장 안전하게 보이는 앱조차, 끈질기게 세세한 것에까지 주의를 기울이면 간단한 것"이라고 평가.
■ 4. 클라이언트측 프로토타입 오염의 악용
시큐러티 연구자인 s1r1us 씨가 발표한, 클라이언트측 프로토타입 오염의 악용에 관한 연구가 4위에 랭크. 덧붙여 동연구에 관계한 시큐러티 연구자의 일람을 보고 전용 패널은 "마치 어벤저스와 같다"라고 평가.
■ 5. 숨겨진 O Auth 공격 벡터
"숨겨진 O Auth 공격 벡터"는 Port Swigger의 보안 연구자인 Michael Stepankin이 발표한 해킹 기법으로, O Auth와 OpenID의 사양을 심도있게 파헤쳐, 세션 포이즈닝 및 SSRF 공격의 기점이 될 수 있는 설계 결함을 밝힌 것이다.