반응형
컴퓨터 시스템은 본질적으로 해킹에 취약하다. 컴퓨터가 처음 만들어졌을 때는 보안보다는 기능서에 초점을 두었기 때문이다. 컴퓨터가 제공하는 다양한 기능은 사용자에게게 편의성을 제공하는 한편 해커에게는 공격을 위한 수단을 제공한다.
웹은 기본적으로 인터넷 브라우저, 웹서버, 데이터 베이스 3개의 요소로 구성된다
- 인터넷 브라우저는 사용자의 입력을 처리하고 웹 서버로 부터 받은 데이터를 가공해 화면을 구성한다.
- 웹서버는 HTTP 요청을 분석해 정해진 기능을 수행하며, 데이처 처리가 필요한 경우 데이터베이스를 연결해 관련 작업을 수행한다.
- 데이터베이스는 데이터를 안전하게 관리하면서 자료입력과 조회 기능을 수행한다.
해커는 웹이 지원하는 기능을 악용한다. 파일 업로드 기능을 이용해서 웹 셸 파일과 악성코드를 업로드한다. 업로드한 파일의 위치를 알아내 웹 셸 파일을 실행하면 해커는 웹 서버를 장악할 수 있다. 사용자입력 기능을 이용하면 SQL 인젝션 공격을 할 수있다.비정상적인 SQL 쿼리문을 입력해 얻을 수 있는 웹 서버의 오류메시지를 분석하면서 공격한다.
거의 모든 기업에서는 방화벽, IPS, IDS와 같은 보안 장비를 도입해 해킹을 차단하고 있다. 하지만 웹 서비스를 지원하기 위해 몇 개의 포트는 어쩔 수 없이 인터넷에 노출해야 한다. 이를 보완하기 위한 웹 방화벽과 같은 장비가 등장하고 있지만, 웹은 해커들에게 가장 매력적인 공격 대상이 된다.
웹 해킹 기술
- XSS
- XSS(Cross-Site Scripting)는 게시판 게시물에 악성코드를 포함하는 스크립트를 심어놓고 게시물을 읽는 사용자 PC에서 개인정보를 추출하는 해킹 기법이다.
- 악성코드는 대부분 스크립트 코드이며 쿠키를 읽어서 특정 URL로 전송하는 기능을 수행한다. 게시물을 읽은 사용자는 자기도 모르느 사이 개인정보가 유출된다.
- 현재는 보안강화와 보안장비 발달로 공격빈도가 많이 줄어들었다.
|
- CSRF
- CSRF (Cross Site Request Forgery)는 게시판에 악성코드를 삽입하고 사용자가 해당 게시물을 읽었을 때 공격이 수행된다는 점에서 XSS와 유사하다.
- 차이점은 XSS는 사용자 PC가 개인정보를 유출하지만 CSRF는 사용자 PC를 통해 웹서버를 공격한다는 점이다.
- 해킹 유형은 웹서버에 대한 무력화 시도일 수도 있고 정보 유출을 위한 공격일 수도 있다.
|
- 피싱 (Phishing)
- 피싱은 은행이나 증권사이트로 비슷한 웹사이트를 만들어 놓고 사용자의 금융정보나 개인정보를 탈취하는 기법
- 파밍 (Pharming)
- DNS를 해킹해서 정상적인 도메인 이름으로 호출해도 위장 사이트가 전송되게 하는 해킹 기술이다.
- 위장 사이트의 IP가 사용자 브라우저에 전송되면 사용자는 해커가 만든 웹사이트에 개인정보를 입력하게 된다
- SQL 인젝션
- SQL 인젝션은 HTML 태그를 활용한다.
- 다양한 비정상 SQL 문을 반복적으로 입력하면서 데이터를 관찰하면 시스템 해킹이 가능한 적당한 SQL 문을 얻을 수 있다.
- 웹 셸
- 웹쉘은 웹에서 제공하는 파일 업로드 기능을 악용한다.
- 먼저 서버를 원격에서 조정할 수 있는 파일을 웹서버를 통해 업로드 하고, 해커는 업로드 한 파일 위치를 파악하고 접근 가능한 URL을 찾아낸다.
- 해커는 이 URL을 통해 웹 셸 파일을 실행해서 운영체제를 통제 할 수 있는 강력한 권한을 획득할 수 있다.
반응형