분류 전체보기 (63) 썸네일형 리스트형 HWP 악성 파일을 분석할 때 생각해야될 유형 크게 4가지의 유형이 존재한다. 1. Post Script 유형문서 내에 .EPS 혹은 .PS 확장자를 가진 파일이 존재하며 해당 파일 내엘 악성 포스트 스크립트가 존재한다.악성 Post Script는 process injection을 이용해 쉘코드 삽입, 파일시스템 조작같은 행위를 수 2. Exploit 유형탐지 방법으로는 파일내에 동일한 크기의 스트림, 콘텐츠가 있거나 해당 데이터의 무질서도가 높을경우 의심해 볼 수 있음직접적인 탐지 방법으로는 쉘코드 패턴을 정의한 IoC와 YARA룰 등의 도구를 이용하는것을 권장 3. Binary File Embed 유형OLE, PE 등의 포맷을 가진 파일이 임베드 된 경우 오브젝트 임베드 타입 일 수 있음.그 외로 확장자로 통해 판단하기 보단 시그니처 분석.. Cross Site Scripting XSS(Cross-Site Scripting, 크로스사이트 스크립팅)은 공격자가 입력한 악성스크립트가 사용자 측에서 응답하는 취약점이다. 주로 사용자에게 쓰기 권한이 있는 게시판 같은 웹에서 발생하며 특이하게도 웹해킹 기법이면서 공격대상이 서버나DB가 아니라 웹을 사용하는 사용자다. 크게 Stored 방식과 Reflected 방식이 있다. Stored XSS 뜻 그대로 '저장', 스크립트 삽입을 DB에 저장하여 그 DB를 불러오는 사용자를 공격한다. 게시판 같이 사용자에게 쓰기 권한이 있 실습 도구 버전 CentOS CentOS7 64bit PHP 5.4.16 Mariadb 5.5.68 Burp Suite V2022.1.1 SIEM 보호되어 있는 글입니다. WebShell 공격 말그대로 웹사이트를 통해 쉘(shell)을 여는 공격이다. 파일 업로드 기능을 이용하여 시스템명령을 내리는 웹프로그램을 업로드 할 수 있는 취약점이다. 서버스크립트 예를들어 .jsp .php .asp 인 확장자를 업로드를 시키므로 업로드 시 확장자에 대한 검증을 제대로 해야된다. 만약 webshell 설치 성공 시 별도의 인증 없이 시스템에 쉽게 접속이 가능해지므로 주의를 요한다. 예제 Log POST /zx.asp HTTP /1.1 Accept */*.. Referer : http://www.secdata.com/zx.asp;.jpg.. Accept-Language : zh-cn User-Agent : Mozilla/4.0(compatible;MSIE9.0;WindowsNT6.1)..Content-Ty.. 비허용 Method 웹 서비스 제공 시 필요하지않은 Method를 허용함으로써 공격자에게 악성파일을 업로드 하거나 중요파일을 가져오게되는 빌미를 주게되는 취약점이다. 예를들어 유저에게 PUT을 허용하면 유저가 DB에 데이터를 넣을 수 있게된다. (PUT Method : 메세지에 포함되어 있는 데이터를 지정한 Request-URL의 이름으로 저장) 예제 PUT /keocgs.txt HTTP /1.1.. Connection : Keep-Alive..content_Type : application/x-www-formurlencoded; Charset=UTF-8.. Accept : */*.. Accept-Language : zh-cn User-agent : Mozilla/4.0(comatible;MSIE9.0;WindowsNT6... ZmEu Scanner 루마니아 해킹 집단에서 제작된 zmeu라고 불리는 툴이다. 2009년에 발견되었고 CVE ID 는 CVE-2009-1151 이다. ZmEu Scanner는 phpMyAdmin을 탐색하며 ssh 무작위 대입공격 기능을 한다. 공격 방식은 ~/scripts/setup.php 의 경로를 찾고 phpMyAdmin 설치 과정에서 사용하는 PHP 코드를 통해 설정 파일 내에 웹쉘을 생성한다. 예제GET /pma/scripts/setup.php HTTP /1.1 Accept : */*.. Accept-Language : en-us..Accept-Encoding:gzip,deflate.. User-Agent : ZmEu Host : www.secdata.com Connection : Close..위 예제는 정탐으로 판.. SQL Injection - URL Encoding URL encoding이란? 단순하게 말하자면 URL로 사용할 수 없는 문자들을 사용할 수 있도록 인코딩 해주는것이다. 예를들어 한글, 특수문자, 예약문자등등은 URL에 직접 사용할 수 없다. 인코딩 규칙은 RFC 3986에 정의 되어있다. ex) 헬로우 WORLD 를 입력하면 text=%ED%97%AC%EB%A1%9C%EC%9A%B0+WORLD 이런 식으로 서버에 수신된다. 공격자들은 장비의 탐지정책을 피하기 위해 인코딩된 값을 삽입해서 우회하여 공격한다. 예제 POST /send_lms/sms_send.php HTTP/1.1 Accept : text/html. application/xhtml+xml, */* Referer : http://www.secdata.com/send_lms Accept-Lan.. GET / POST 특징과 차이점, 공격 이벤트 HTTP의 메소드중 하나인 GET 과 POST 메소드는 서버가 요청을 수행하기 위해 해야할 행동을 표시하는 용도로 보여주는데 웹공격 중에 GET 과 POST로 수행되는 공격이 많으므로 두 메소드의 특징과 차이점부터 알아보겠습니다. GET 서버로부터 정보를 조회하기 위해 설계된 메소드. 데이터를 읽거나 검색할 때 사용된다. 그리고 요청을 전송할 때 필요한 데이터를 Body에 담지않고 쿼리스트링을 통해 전송한다. 쿼리스트링이란 URL 끝에 ?를 필두로 오는 요청 파라미터이다. 예를들어 www.phpMyAdmin.php?name1=value1&name2=value2 이런식으로 ?뒤에 붙는 요청들이 쿼리스트링이다. 데이터를 읽고 정보를 조회할 때만 사용하는 메소드이므로 웹서버가 변경될 위험은 없다. 그러므로 공.. 이전 1 2 3 4 ··· 8 다음
