한 기업의 보안담당자로서 “우리 회사의 웹사이트는 적절하게 보호되고 있는가?”라는 질문에 어떻게 답할 수 있을까? 이 책 [ModSecurity를 활용한 웹 애플리케이션 방어 레시피]는 계속해서 진화하는 오픈소스 기반 웹 애플리케이션 방화벽(WAF)인 ModSecurity 를 활용해 현재의 방어 수준을 점검하고 개선할 수 있는 방안을 소개한다. 수년간 실무를 통해 접한 사례를 레시피 형태로 구성해 실제 업무에 즉각적으로 활용할 수 있도록 한다.

1부. 전쟁 공간 준비

1장. 애플리케이션 요새화
__레시피 1-1: 실시간 애플리케이션 프로파일링
__레시피 1-2: 암호화 해시 토큰을 이용해 데이터 조작 방지
__레시피 1-3: OWASP ModSecurity CRS 설치
__레시피 1-4: 침입 탐지 시스템(IDS)의 시그니처와 통합
__레시피 1-5: 베이지안(Bayesian) 공격 페이로드 탐지 사용
__레시피 1-6: 전체 HTTP 감사 로깅을 활성화
__레시피 1-7: 관련된 트랜잭션만 로깅
__레시피 1-8: 정적 콘텐츠에 대한 요청인 경우 무시
__레시피 1-9: 로그에서 중요한 데이터 난독화
__레시피 1-10: Syslog를 사용해 중앙 로그 호스트에 경고 전송
__레시피 1-11: ModSecurity의 AuditConsole 사용

2장. 취약점 확인 및 개선
__레시피 2-1: 수동 취약점 확인
__레시피 2-2: 능동적인 취약점 식별
__레시피 2-3: 수동 스캔 결과 변환
__레시피 2-4: 자동 스캔 결과 변환
__레시피 2-5: 실시간 자원 평가 및 가상 패치

3장. 독을 품은 폰(해커 트랩)
__레시피 3-1: 허니팟 포트 추가
__레시피 3-2: ROBOTS.TXT에 가짜 DISALLOW 항목 추가
__레시피 3-3: 가짜 HTML 주석 추가
__레시피 3-4: 가짜 숨겨진 폼 필드를 추가
__레시피 3-5: 가짜 쿠키 데이터를 추가

2부. 비대칭 전력

4장. 평판 및 서드파티 연관성
__레시피 4-1: 클라이언트의 지리적 위치 정보 데이터 분석
__레시피 4-2: 의심스러운 공개 프락시 사용 여부 식별
__레시피 4-3: 실시간 블랙리스트 조회(RBL)
__레시피 4-4: 자신만의 RBL을 실행
__레시피 4-5: 악성 링크 탐지

5장. 요청 데이터 분석
__레시피 5-1: 요청 바디 접근
__레시피 5-2: 잘못된 요청 바디 식별
__레시피 5-3: 유니코드 정규화
__레시피 5-4: 다중 인코딩 사용을 식별
__레시피 5-5: 비정상적인 인코딩 식별
__레시피 5-6: 비정상적인 요청 메소드 식별
__레시피 5-7: 잘못된 URI 데이터 검출
__레시피 5-8: 비정상적인 요청 헤더 탐지
__레시피 5-9: 추가 매개변수 탐지
__레시피 5-10: 누락된 매개변수 탐지
__레시피 5-11: 중복된 매개변수명 탐지
__레시피 5-12: 비정상적인 매개변수 페이로드 크기 탐지
__레시피 5-13: 비정상적인 매개변수 문자 클래스 탐지

6장. 응답 데이터 분석
__레시피 6-1: 비정상적인 응답 헤더 탐지
__레시피 6-2: 응답 헤더 정보 유출 탐지
__레시피 6-3: 응답 바디 접근
__레시피 6-4: 페이지 제목 변경 탐지
__레시피 6-5: 페이지 크기 편차 검출
__레시피 6-6: 동적 콘텐츠 변경 탐지
__레시피 6-7: 소스 코드 유출 탐지
__레시피 6-8: 기술적인 데이터 유출 탐지
__레시피 6-9: 비정상적인 응답 시간 간격 탐지
__레시피 6-10: 민감한 사용자 데이터 유출 탐지
__레시피 6-11: 트로이 목마(Trojan), 백도어, 웹셸 접근 시도 탐지

7장. 인증에 대한 방어
__레시피 7-1: 일반적/기본값을 가진 사용자 이름 제출 탐지
__레시피 7-2: 다중 사용자명 제출 탐지
__레시피 7-3: 실패한 인증 시도 탐지
__레시피 7-4: 높은 비율의 인증 시도 검출
__레시피 7-5: 인증 시도 상세 정보 정규화
__레시피 7-6: 비밀번호 복잡성 강제화
__레시피 7-7: 사용자명과 세션ID 연관

8장. 세션 상태에 대한 방어
__레시피 8-1: 올바르지 않은 쿠키 탐지
__레시피 8-2: 쿠키 임의 조작 탐지
__레시피 8-3: 세션 타임아웃 적용
__레시피 8-4: 세션 기간 동안 클라이언트 원본 위치 변경 탐지
__레시피 8-5: 세션 유지 중 브라우저 핑거프린트 변경 탐지

9장. 애플리케이션 공격 방지
__레시피 9-1: 비아스키 문자를 차단
__레시피 9-2: 경로 탐색 공격 방지
__레시피 9-3: 강제 브라우징 공격 방지
__레시피 9-4: SQL 인젝션 공격 방지
__레시피 9-5: 원격 파일 포함 공격 방지
__레시피 9-6: OS 명령 공격 방지
__레시피 9-7: HTTP 요청 스머글링 공격 방지
__레시피 9-8: HTTP 응답 분할 공격 방지
__레시피 9-9: XML 공격 방지

10장. 클라이언트 공격 방어
__레시피 10-1: 콘텐츠 보안 정책 구현
__레시피 10-2: 크로스 사이트 스크립팅 공격 방지
__레시피 10-3: 사이트 간 요청 위조(CSRF) 방지
__레시피 10-4: UI 리드레싱(클릭재킹) 공격 방지
__레시피 10-5: 인터넷 뱅킹 트로이 목마 공격 탐지

11장. 파일 업로드 방어
__레시피 11-1: 큰 파일 사이즈 탐지
__레시피 11-2: 다수의 파일 탐지
__레시피 11-3: 첨부된 파일에서 악성코드 검사

12장. 접속률 및 애플리케이션 절차 강화
__레시피 12-1: 높은 애플리케이션 접속률 탐지
__레시피 12-2: 요청/응답 지연 공격 탐지
__레시피 12-3: 요청 간 시간 지연 이상점 파악
__레시피 12-4: 요청 흐름 이상 식별
__레시피 12-5: 리소스 사용률이 상당히 증가할 경우 탐지

3부. 전술적 응답

13장. 수동적인 응답 액션
__레시피 13-1: 이상 징후 점수 추적
__레시피 13-2: 감사 로그 트랩 및 추적
__레시피 13-3: 이메일 경고 발행
__레시피 13-4: 요청 헤더 태깅과 데이터 공유

14장. 능동적인 응답 액션
__레시피 14-1: 오류 페이지로 리다이렉션 사용
__레시피 14-2: 연결 드롭
__레시피 14-3: 클라이언트 소스 주소 차단
__레시피 14-4: 방어 조건 수준 변경을 통해 위치 정보별 접근을 제한
__레시피 14-5: 강제적인 트랜잭션 지연
__레시피 14-6: 성공적인 공격 스푸핑
__레시피 14-7: 트래픽을 허니팟으로 프락싱
__레시피 14-8: 애플리케이션 강제 로그아웃
__레시피 14-9: 계정 접근을 일시적으로 잠금

15장. 침입 응답 액션
__레시피 15-1: 자바스크립트 쿠키 테스트
__레시피 15-2: CAPTCHA 테스트를 통한 사용자 검증
__레시피 15-3: BeEF로 악성 클라이언트 후킹

라이언 바넷