OAST(Out-of-Band Application Security Testing)
OAST(Out-of-Band Application Security Testing) 란
대상이 테스터가 제어하는 인프라로 콜백하도록 강제하여 웹 애플리케이션에서 악용 가능한 취약점을 찾는 방법입니다
이런 유형의 테스트는 Project Discovery(interact.sh) 및 Port Swigger(Burp Collaborator)에서 제공하는 툴과 같은 OAST 툴을 통해 테스트 할 수 있습니다.
OAST 툴은 점점 사용 빈도가 높아져가며 현재는 일반적인 검색 활동에 많이 사용됩니다.
Project Discovery(interact.sh)는 현재 모든 Log4j(CVE-2021-44228) 공격의 약 절반과 Lacework Labs에서 관찰한 총 공격의 4분의 1을 차지 할 정도로 많이 사용되며, 최근에는 Spring4Shell(CVE-2022-22965) 공격에 사용된 사례가 있습니다.
2021년 자료지만 Log4j exploit에 OAST 툴의 사용빈도가 높아지는 것을 볼 수 있습니다.
OAST툴 사용 빈도
interact.sh가 가장 잘 알려진 Project Discovery OAST 도메인이지만
다음과 같은 기본 서버가 추가되었고, interact.hs 도메인을 완전히 대체하였습니다.
- oast.pro
- oast.live
- oast.site
- oast.online
- oast.fun
- oast.me
interact.sh 도메인은 다른 취약점에서 지속적으로 사용되고 있습니다.
결론
네트워크 트래픽 모니터링 중 User-Agent, URL... 페이로드에 'oast.xxx' 나 'interact.sh' 가 탐지된다면,
취약점 스캐닝, 취약점 인젝션 시도라 인식하고
방화벽에서 IP를 차단하던지, Application Layer 보안 시스템에서 공격 패턴에 대한 룰을 적용하여 대응해야 합니다.
(대부분의 보안 시스템은 시그니처 or 룰을 통해 OAST 툴 페이로드에 대한 탐지율이 높음)
취약점 공격의 최고의 방어는 취약점 패치를 진행하는 것 이지만,
서비스를 운영하는 입장에서 업데이트 작업에 대한 고려 사항이 한 두가지가 아니기 때문에 현실적으로 취약점 패치를 많이 하지 않습니다.
그렇기 때문에 보안 시스템 운영 및 관리에 주의 깊은 관심이 필요합니다.
'IT 보안' 카테고리의 다른 글
| 난독화 악성 파워쉘 코드 탐지 및 분석 자료 (6) | 2024.09.23 |
|---|---|
| F5 BIG-IP TMUI RCE 취약점 (CVE-2020-5902) 분석 자료 (0) | 2024.09.23 |
| Apache Log4j 취약점 (CVE-2021-44228) 분석 자료 (0) | 2024.09.23 |
| FBI FLASH CP-000169-TT CP-000165-TT (0) | 2024.09.23 |
| Dasan GPON Home Routers Authentication Bypass (CVE-2018-10561, CVE-2018-10562) 분석 자료 (0) | 2024.09.23 |
