게시판 본문 ASP, ASP.NET, IIS & Script - Read Only

보안 페이지...
작성자: 정보문
작성일시: 2004-07-29 14:39,  조회수: 2,375
음...

neis에 관련한 그동안의 히스토리부터 말씀드려야 겠군요.

첫 페이지의 소스보기를 하면...
전자인증 로그인의 소스들이 보이더군요...

뭐..대충 보아도..로그인 절차가 어떻게 흘러간다는 것을 알 수 있겠더군요.

그래서..이거 위험하지 않느냐? 라고 교육부 담당자에게 이메일로 알려드렸더니..
[전혀 문제없다]라고 하더라..

전혀 문제없는 것이 아니라는 것을 입증해야 한다는 사명감에 사로잡혀
석달을 고민했습니다.

첨에 시도한 것이 프록시 서버를 사용한 소스변형이었죠.
무조건 OK를 return 해주면 될 것 같았는데, 그건 아니더군요.

그래서 정상적인 절차를 거진 히든 필드값을 조합한 html 파일을
만들어 로그인.jsp로 던져보았더니, 바로 접속되더군요.

3개의 열쇠 (id, 전자인증파일, pw)를 건너뛸 수 있었더라는 거죠.
그것이 패킷필터링 단계에서도 가능하다는 것을 알고나니
무척 위험한 neis보안이라는 생각이 들어서
바로 교육부로 통보했었죠. 그것이 작년 5월 5일이었습니다.




그후에....
어떤 일이 있었는지...

neis는 마스터 id 라는 것이 있습니다.

사용자마다 접근할 수 있는 페이지를 지정하는 권한이 있죠.
정확히는 페이지가 조합된 업무그룹에 사용자를 배정하는 방식입니다.

사용자는 메뉴 프레임에 나타나는 페이지에만 접속이 가능했죠.

그런데, 문제는
페이지마다 절대경로가 오픈되어 있다는 겁니다.
페이지의 절대경로 (예:neis.cne.go.kr/aaa/bbb/ccc/ddd.jsp)를
익스폴로어의 주소창에 던지면
그 페이지가 열렸다는 겁니다.

즉 교장선생님만 접근가능하토록 설정한 웹 페이지가
일단 neis에 로그인만 하면 (세션값만 얻으면)
모든 페이지에 접속가능하다는 것이었습니다.

교육부가 그토록 자랑하는
4중 보안과 주어진 업무, 자료권한만 접속가능하다는 neis가
이처럼 허술하다는 것을 보고 웃음이 나왔습니다.

------------------------------------------------------------------------------------------
이런 문제도 있습니다. (아직도 삼성SDS는 손놓고 있습니다.)

국어과목코드를 수학과목코드로 바꾸어 질의를 던지면
수학점수가 보입니다.

홍길동에게는 국어 자료권한만 주었는데
홍길동 스스로 수학 자료권한을 취득하는 문제입니다.

이 방법은 프록시미트론으로 이미 구현해 보았습니다.
(더 더욱 심각한 것은 학교코드를 바꾸면 다른 학교자료까지 보였다는 사실...)

학교코드 문제는 교육부로 통보해서, 해결된 상태입니다.
------------------------------------------------------------------------------------------

다시 원래 이야기로 돌아와서요...
neis는 프레임의 절대주소를 던지면
정상적인 접근이 아니라는 메시지를 보여주고
로그인 페이지로 돌아갑니다.

전에는 다 열렸는데, 그런 문제점을 지적했더니
보름 정도 걸려서 보완했더군요.

이것은 안 연구소의 개인방화벽이 하는 것이 아닙니다.
(저는 개인방화벽이 싫어서, 프록시미트론으로 안 연구소 사이트를 차단합니다.)
(접속할 때마다, 10 여초의 딜레이가 싫어서죠. 컴도 버벅거리구요.)

개인방화벽은 종료할 수도 있습니다.

결론은
안 연구소의 개인방화벽이 막는 것이 아니고
각각의 웹 페이지들이 상단(부모? parent) 프레임이 없을 때는
스스로 정상적인 접근이 아니라고 판단하는 로직을 심었다는 겁니다.


그럼에도 불구하고
blsoft.co.kr의 neis 출력도우미라는 프로그램은
웹 페이지를 스스로 호출하고
호출된 페이지에서
학생번호와 이름, 그리고 리포토 디자이너에 연결된 자료를 스스로 가져옵니다.


얼마든지 가능할 수 있다는 결론입니다.

프레임 span을 적용하면 neis는 거부합니다.
프레임 span을 적용하지 않고도 프레임의 소스를 가져오면 될 것 같습니다.


휴 ~~~~.........업무에 바쁘실텐데...제자 하나 키우기 힘드시겠습니다. ^^;

IP 주소: 211.251.224.142
전체 2 건의 댓글이 존재합니다.

정보문

저 때문에 (?) neis 보안이 무척 강화되었습니다. 수많은 페이지중에서 80여개의 페이지에 보안기능을 강화했다고 들었습니다. 이 페이지는 정상적인 익스플로어 접근인 경우에도 오작동을 하여 [잘못된 접속입니다.] 혹은 [보안모듈이 가동되지 않았습니다.]라는 페이지가 뜹니다. 이 경우는 포맷하고 다시 윈도우를 깔아야 해결되는 경우도 있더군요.
2004-07-29 14:50

정보문

이런 경우를 교육부나 삼성sds로 질의하면, ie를 만든 MS 한국지사 기술팀과 상의하였으나 오작동하는 경우에 대한 뚜렸한 이유와 해결책이 없다고 하더군요.
2004-07-29 14:51
전체 2,095 건의 게시물, 84 페이지로 구성된 ASP, ASP.NET, IIS & Script 게시판의 65 페이지입니다.
게시물
516

보안이 적용된 페이지 [3]

정보문

2004-07-30 4,485
515

re: 보안이 적용된 페이지 [2]

정보문

2004-07-30 2,296
514

정보문님, RD 데이터 페이지 정보 얻어오기 부분이 완료되었습니다.

송원석

2004-07-30 2,213
513

re: 정보문님, RD 데이터 페이지 정보 얻어오기 부분이 완료되었습니다.

정보문

2004-07-30 2,144
512

수행평가 점수 밀어넣기 [3]

정보문

2004-07-30 2,370
511

re: 수행평가 점수 밀어넣기 [3]

정보문

2004-07-30 2,147
510

i 의 의미

정보문

2004-07-30 2,149
509

re: i 의 의미

송원석

2004-07-30 2,327
508

NEIS.JSP 신설 [4]

정보문

2004-07-30 2,732
507

걱정해주신 부분

정보문

2004-07-29 2,387
506

re: 걱정해주신 부분

송원석

2004-07-29 2,280
505

정보문님, 학생들의 목록을 얻어오는 부분이 완료되었습니다. [5]

송원석

2004-07-29 2,248
504

re.학생들의 목록을 얻어오는 부분

정보문

2004-07-29 2,141
503

참고하실 만한 자료...

정보문

2004-07-29 2,151
502

re: 참고하실 만한 자료...

송원석

2004-07-29 2,252

보안 페이지... [2]

정보문

2004-07-29 2,375
500

re: 보안 페이지...

정보문

2004-07-29 2,289
499

정보문님, 꼭 이 글을 읽어보시기 바랍니다. [1]

송원석

2004-07-29 2,304
498

기초 다지기 (2)

정보문

2004-07-29 2,246
497

re: 기초 다지기 (2)

송원석

2004-07-29 2,304
496

기초 다지기 (1)

정보문

2004-07-29 2,396
495

re: 기초 다지기 (1)

송원석

2004-07-29 2,183
494

세션 타임 [1]

정보문

2004-07-29 2,352
493

re: 세션 타임

송원석

2004-07-29 2,259
492

메일로 보내드렸습니다. [2]

정보문

2004-07-28 2,334