웹 서비스 공격 분류
웹 해킹은 웹 서비스를 대상으로 발생하는 해킹을 이야기한다. 주로 웹사이트 취약점을 이용하여 권한이 없는 시스템에 접근하거나 데이터 유출 또는 파괴와 같은 행위를 말한다.
정의 및 종류
- 웹 해킹
- 웹 서비스를 대상으로 발생하는 해킹
- 웹 사이트 취약점을 이용하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴하는 행위
- 종류
- 웹 엔진을 이용한 해킹
- Apache, IIS 취약점 등
- 웹 서버 및 미들웨어를 이용한 해킹
- OS, JEUS, WebLogic, WebSphere, 취약점 등
- 주로 웹 애플리케이션을 이용한 해킹
- SQL Injection, XSS, 파일 업로드/다운로드 취약점
- 웹 엔진을 이용한 해킹
위험성
- 위험성
- 웹에서 이용되는 구간 전 범위에서 1차 피해 발생
- 2차 공격으로 인한 추가 범위 공격으로의 시발점 가능
- 웹으로 할 수 있는 밤큼 접근할 수 있는 범위도 확대됨을 인지
- Web Client
- Cross Site Scripting. 주석을 통한 민감 정보 노출
- Web Server
- 백엄/임시 파일 존재. 민감한 파일 존재. 디렉터리 인덱싱. 부적절한 오류처리. 불필요한 Method 지원. 관리자 페이지 노출
- Web Application(JSP, PHP, Phython...)
- SQL Injection.업로드 파일 제한 부재. 코드 실행. 디렉터리 이동. Cookie를 이용한 인증. 사용자 인증 부재. 소스 코드 노출
- Database Application(Oracle, MySQL, SQLite...)
- SQL Injection
OWASP 웹 진단
- OWASP Top 10
- A1. 취약한 접근 통제
- A2. 암호화 오류
- A3. 인젝션
- A4. 안전하지 않은 설계
- A5. 보안 구성 오류
- A6. 취약하고 오래된 컴포넌트
- A7. 식별 및 인증 오류
- A8. 소프트웨어와 데이터 무결성 오류
- A9. 보안 로깅과 모니터링 오류
- A10. 서버측 요청 위조
도구
- burp suite
- portswigger
웹 서비스 주요 해킹 기법
SQL Injection
사용자 입력을 받아 SQL Query문을 생성할 경우, 고의적으로 에러메시지가 발생하도록 유도할 수 있다.
DB의 에러메시지는 테이블명, 필드명 등과 같은 주요 정보를 노출할 수 있어, 공격자는 DB의 구조를 파악할 수 있다.
- 인증 우회
- DB 구조 파악 및 2차 공격 시도
XSS(Cross Site Scripting)
XSS 취약점은 외부의 공격자가 클라이언트 스크립트를 악용하여 웹사이트에 접속하려는 일반 사용자로 하여금 공격자가 의도한 명령이나 작업을 수행하도록 하는 공격이다. 공격자는 이 공격을 이용해서 악성 서버 유도, 사용자 쿠키 정보 추출을 통한 세션 가로채기 공격 등을 수행할 수 있다.
- Stored XSS(저장형)
- 악의적 사용자가 게시판에 실행하고자 하는 악성코드가 담긴 조작된 데이터를 등록
- 희생자는 해당 게시물을 열람하였을 때 공격자의 데이터가 담긴 악성코드가 실행
- 클라이언트 사이드 스크립트의 이용자 실행 가능
- 희생자의 Session ID 또는 Cookie 값을 탈취하여 해당 사용자의 권한 획득
- 사용자 PC에 악성 프로그램 설치로 인한 개인정보 탈취 및 PC 정상 작동 방해
- Relected XSS(반사형)
- URL 매개변수 점검. 문자열 점검.
- "><script>alert{document.cookie)</script>
- URL 매개변수 점검. 문자열 점검.
파일 다운로드 취약점
직접 객체 참조는 개발자가 파일, 디렉터리, 데이터베이스 기록 혹은 키 같은 내부 구현 객체에 대한 참조를 URL 혹은 홈 매개변수로 노출시킬 때 발생합니다. 공격자는 이러한 참조를 조작해서 승인 없이 다른 객체에 접근하고 다운로드를 통하여 정보를 획득할 수 있다.
- Download Script 파일을 통해 중요한 파일을 다운로드
'⛅ Cloud Study > 🛡 Security' 카테고리의 다른 글
| 직무 맛보기(컨설팅, 취약점 분석 관리, 모의해킹) (0) | 2023.07.31 |
|---|---|
| 실무에서 TTPs 활용하기 (0) | 2023.07.31 |
| 네트워크 기반 주요 위협 (0) | 2023.07.30 |
| 기업 IT 인프라 구성의 이해 (0) | 2023.07.29 |
| 보안 용어 (0) | 2023.07.29 |
