정리블로그 정리블로그

Spoofing 공격 spoofing = 속이는것 DNS Spoofing 공격 DNS 서버보다 빨리 공격대상에게 DNS Response 패킷을 보내 공격 대상이 잘못된 IP주소로 웹접속을 하도록 유도 정상적으로 사이트주소를 입력했지만 다른 이상한 사이트가 뜨는 경우 이 공격을 의심해봐야함 DNS 서버를 공격하여 해당 사이트에 접근하지 못하도록하면 DoS공격이 된다. 정상적인 DNS 서비스 1. 클라이언트는 DNS 서버에 DNS Query를 보낸다. DNS Query 는 클라이언트가 접속하고자하는 IP주소를 묻는 질의이다 2. DNS 서버가 클라이언트에게 DNS Reply를 보낸다. DNs Reply는 해당 도메인 이름에 대한 IP주소가 있다. 3. Web Login. 클라이언트가 받은 IP주소로 웹서버를..

프로토콜 DoS/DDoS 공격 HTTP 특징을 이용한 웹에서 이루어지는 디도스 공격 형태 *Dos/DDos 개념 -서비스 거부 공격(DoS : Denial of Service) 공격자가 서버에 과부화가 걸리도록하여 서버가 제대로된 서비스를 제공하지 못하도록하는 공격 서버의 자원을 고갈시키는 공격임. 서버는 수용할 수 있는 클라이언트의 접속수나 네트워크 트래픽이 정해져있는데 이를 초과하도록 계속 요청을 보내는 방식 -분산 서비스 거부 공격(DDoS : Distributed Denial of Service) 공격하는 컴퓨터를 여러대로 구성한 형태. 공격자가 중간에 여러 에이전트를 감염시켜 DoS공격에 가담시키는 방식 공격자가 사전에 많은 시스템을 해킹해놔야한다. 이는 악성코드를 배포하여 감염된 PC(좀비PC..

XSS (Cross Site Scripting) 공격 자바스크립트같은 CSS(Client Side Script) 이용 모든 처리하는값을 검증해야한다. 들어오는 입력뿐만아니라 나가는 출력또한 검사하는것도 중요 종류 stored XSS : 사용자의 입력값이 DB에 저장되는 경우 입력값을 공격코드로 주었을 경우 지속적인 공격이 이루어져 매우 위험 reflected XSS : 사용자의 입력값이 저장되지 않고 그래도 나타나는 경우의 XSS 공격 삽입방식 shorten url 을 이용해서 script를 감추는 방법 대부분 사용자의 입력값에 스크립트 코드를 넣는 방식으로 진행 -JavaScript 영역에 삽입 -HTTP Request Header에 삽입 -HTTP Response Header에 삽입 -서버로 전송되는..

javascript 자바스크립트 이용 Tabnabbing 공격 window.opner 객체를 이용한 피싱사이트 공격 window.opener 객체란? 해당 페이지를 open한 페이지 윈도우 A에서 target="_blank" 속성을 가진 Anchor를 클릭 (Anchor : 하이퍼 링크를가진 태그) 윈도우B가 새창으로 열렸을때, 이때 윈도우B의 window.opener는 윈도우A가 된다. 새로 연 페이지인 윈도우B는 window.opener로 윈도우A를 제어할수있다. 자주이뤄지는 공격방식 1. 메일의 내용중 링크가 존재 >사용자가 이를 클릭 2. 윈도우B가 열리고 B는 아래의 스크립트를 실행 window.opener.location="공격자의 피싱사이트주소"; opener가 윈도우A에서 공격자의 피싱사이..

입력값 검증 및 필터 SQL Injection SQL 삽입공격 공격자가 입력데이터에 SQL 쿼리를 삽입하여 DB의 정보를 얻는것 -애플리케이션이 DB연결을 통해 데이터를 처리할경우 최소 권한이 설정된 계정을 사용 침해사고가 발생해도 공격자가 나머지 부분에 대해서는 공격 액세스 권한을 가지지 않도록. 읽기 쓰기 삭제 업데이트 권한만 설정 -외부 입력값을 받아 SQL쿼리문을 동적으로 생성해서 실행하지 않도록. 정적쿼리구조 사용. 쿼리문의 구조가 외부 입력값에 의해 변경되지 않은 API를 사용하도록 규칙을 지정 -동적 쿼리문을 사용하는 경우, 입력값에 대한 검증 수행 필터 이용(값 치환을 위한 필터 컴포넌트 생성) 인터셉트 이용(MVC프레임워크를 사용하는 경우 Interceptor 컴포넌트를 사용하여 검증작업..