728x90
URL encoding이란?
단순하게 말하자면 URL로 사용할 수 없는 문자들을 사용할 수 있도록 인코딩 해주는것이다.
예를들어 한글, 특수문자, 예약문자등등은 URL에 직접 사용할 수 없다. 인코딩 규칙은 RFC 3986에 정의 되어있다.
ex) 헬로우 WORLD 를 입력하면
text=%ED%97%AC%EB%A1%9C%EC%9A%B0+WORLD
이런 식으로 서버에 수신된다.
공격자들은 장비의 탐지정책을 피하기 위해 인코딩된 값을 삽입해서 우회하여 공격한다.
예제
POST /send_lms/sms_send.php HTTP/1.1
Accept : text/html. application/xhtml+xml, */*
Referer : http://www.secdata.com/send_lms
Accept-Language : ko-KR
User-Agent : Mozilla/5.0 (Windos NT 6.1: WOW64: Trident/7.0: rv:11.0) like Gecko
Content-Type : application/x-www-form-urlencoded
Accept-Encoding : gzip. deflate
Host : www.secdata.com
Content-Length : 1127
DNT : 1
Connection : Keep-Alive
Cache-Control : no-cache
check_attack=1&cp=sms&msg_no=&sms_title=&infoCheck=alert&body=안녕하세요 OO마켓입니다. 월요일부터 슬픈소식 전해드려요
지금 세관에서 입고지연으로 인하여 다음주 초 출고예정입니다. 불편을 드려 죄송합니다 :)=bytes=250&max_byte=2000
&subject=&callback=01000000000&tongiiName=&destination=010-0000-0000
010-0000-0000
010-0000-0000
010-0000-0000
010-0000-0000
010-0000-0000
010-0000-0000
010-0000-0000
010-0000-0000
javascript:newchecksend(document.msg_form,'LMS','send')&destination_count=9&reserve_flag=N&check=0
장비에서 탐지된 구문 예시다. 결과부터 말하자면 오탑이었고 정책에 걸린 구문만 보자면
안녕하세요 OO마켓입니다. 월요일부터 슬픈소식 전해드려요
지금 세관에서 입고지연으로 인하여 다음주 초 출고예정입니다. 불편을 드려 죄송합니다
이부분이다. 원래는 인코딩 되어있으며 여기에 공격구문이 들어가있으면 정탐이다.
728x90
'보안 > 보안관제 공격이벤트 정리' 카테고리의 다른 글
| SIEM (0) | 2022.01.26 |
|---|---|
| WebShell 공격 (0) | 2022.01.17 |
| 비허용 Method (0) | 2022.01.17 |
| ZmEu Scanner (0) | 2022.01.17 |
| GET / POST 특징과 차이점, 공격 이벤트 (0) | 2022.01.14 |