보안/보안관제 공격이벤트 정리 (6) 썸네일형 리스트형 SIEM 보호되어 있는 글입니다. WebShell 공격 말그대로 웹사이트를 통해 쉘(shell)을 여는 공격이다. 파일 업로드 기능을 이용하여 시스템명령을 내리는 웹프로그램을 업로드 할 수 있는 취약점이다. 서버스크립트 예를들어 .jsp .php .asp 인 확장자를 업로드를 시키므로 업로드 시 확장자에 대한 검증을 제대로 해야된다. 만약 webshell 설치 성공 시 별도의 인증 없이 시스템에 쉽게 접속이 가능해지므로 주의를 요한다. 예제 Log POST /zx.asp HTTP /1.1 Accept */*.. Referer : http://www.secdata.com/zx.asp;.jpg.. Accept-Language : zh-cn User-Agent : Mozilla/4.0(compatible;MSIE9.0;WindowsNT6.1)..Content-Ty.. 비허용 Method 웹 서비스 제공 시 필요하지않은 Method를 허용함으로써 공격자에게 악성파일을 업로드 하거나 중요파일을 가져오게되는 빌미를 주게되는 취약점이다. 예를들어 유저에게 PUT을 허용하면 유저가 DB에 데이터를 넣을 수 있게된다. (PUT Method : 메세지에 포함되어 있는 데이터를 지정한 Request-URL의 이름으로 저장) 예제 PUT /keocgs.txt HTTP /1.1.. Connection : Keep-Alive..content_Type : application/x-www-formurlencoded; Charset=UTF-8.. Accept : */*.. Accept-Language : zh-cn User-agent : Mozilla/4.0(comatible;MSIE9.0;WindowsNT6... ZmEu Scanner 루마니아 해킹 집단에서 제작된 zmeu라고 불리는 툴이다. 2009년에 발견되었고 CVE ID 는 CVE-2009-1151 이다. ZmEu Scanner는 phpMyAdmin을 탐색하며 ssh 무작위 대입공격 기능을 한다. 공격 방식은 ~/scripts/setup.php 의 경로를 찾고 phpMyAdmin 설치 과정에서 사용하는 PHP 코드를 통해 설정 파일 내에 웹쉘을 생성한다. 예제GET /pma/scripts/setup.php HTTP /1.1 Accept : */*.. Accept-Language : en-us..Accept-Encoding:gzip,deflate.. User-Agent : ZmEu Host : www.secdata.com Connection : Close..위 예제는 정탐으로 판.. SQL Injection - URL Encoding URL encoding이란? 단순하게 말하자면 URL로 사용할 수 없는 문자들을 사용할 수 있도록 인코딩 해주는것이다. 예를들어 한글, 특수문자, 예약문자등등은 URL에 직접 사용할 수 없다. 인코딩 규칙은 RFC 3986에 정의 되어있다. ex) 헬로우 WORLD 를 입력하면 text=%ED%97%AC%EB%A1%9C%EC%9A%B0+WORLD 이런 식으로 서버에 수신된다. 공격자들은 장비의 탐지정책을 피하기 위해 인코딩된 값을 삽입해서 우회하여 공격한다. 예제 POST /send_lms/sms_send.php HTTP/1.1 Accept : text/html. application/xhtml+xml, */* Referer : http://www.secdata.com/send_lms Accept-Lan.. GET / POST 특징과 차이점, 공격 이벤트 HTTP의 메소드중 하나인 GET 과 POST 메소드는 서버가 요청을 수행하기 위해 해야할 행동을 표시하는 용도로 보여주는데 웹공격 중에 GET 과 POST로 수행되는 공격이 많으므로 두 메소드의 특징과 차이점부터 알아보겠습니다. GET 서버로부터 정보를 조회하기 위해 설계된 메소드. 데이터를 읽거나 검색할 때 사용된다. 그리고 요청을 전송할 때 필요한 데이터를 Body에 담지않고 쿼리스트링을 통해 전송한다. 쿼리스트링이란 URL 끝에 ?를 필두로 오는 요청 파라미터이다. 예를들어 www.phpMyAdmin.php?name1=value1&name2=value2 이런식으로 ?뒤에 붙는 요청들이 쿼리스트링이다. 데이터를 읽고 정보를 조회할 때만 사용하는 메소드이므로 웹서버가 변경될 위험은 없다. 그러므로 공.. 이전 1 다음