본문 바로가기

닷컴's_IT/보안

DDoS(Distribute Denial of Service attack)- 인터넷 대란 DDoS는 일반인이 접하기에는 어려운 용어 일지는 모르겠지만 쉽게 풀자면 사람끼리 짜고 한사람을 동시에 공격하는거나 마찬가지이다. 몇일전 이런 DDoS 공격으로 이름만 대면 알만한 사이트가 공격을 받아 서비스가 중단되는 사고가 발생했다. 해킹수법의 하나로 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 해팅 방식이다. 해커가 일정 시간을 정해서 프로그램을 여러 컴퓨터에 심어 놓고(알게 모르게) 설정한 시간이 되면 특정 사이트를 공격하는 방법이다. 컴퓨터에 침투해서 자료를 삭제 또는 복사해 가는 것이 아니라 서버에 다른 정당한 신호를 받지 못하도록 방해만 하는것이 특징이다. 대량 트래픽을 유도해서 컴퓨터 서비스를 마비 시키는 것이 목적인 것이다. ■ 분산 서비스거부(DDoS) 분산 서비스거..
“누구나 해킹은 가능…도덕적인 끈 놓지 말아야” 일러스트=박상훈 기자 ps@chosun.com 현업 활동 중인 국내 보안 컨설턴트들 e메일 직격 인터뷰 “아이핀 등 대체수단 해결책 안 돼…보안은 사람이 중요” “제대로 보안팀 갖춘 곳 없어…직원 보안의식 제고 시급” “해커와 크래커 구별해야…전문가 키워 사이버전 대비를” ##1> 지난 2월 초 국내 최대 오픈마켓으로 1800만 회원 정보를 가지고 있던 옥션이 한 해커에 의해 뚫렸다. 실명, 주민등록번호, 계좌번호 등 주요 정보가 무기력하게 빠져 나갔다. 경찰이 추정한 정보 유출 건수만 1000만 건이 넘는다. 현재 해킹 및 협박에 가담한 일당 3명이 중국서 붙잡혔지만, 주범은 여전히 오리무중이다. ##2> 지난 3월에는 780만 명에 이르는 LG텔레콤 가입자의 개인정보가 닷새 동안 인터넷에 실시간으로 ..
옥션 해킹범을 잡다... 지난 2월 옥션을 해킹해 회원 천만 명의 개인정보를 빼내간 중국인 해커가 이미 한 달 전에 중국 공안에 붙잡혔다고 합니다. 체포된 중국인 해커는 산둥성에서 활동하는 중국인 전문 해커인데 아직 공식적인 발표는 없었지만 산둥성 공안은 이런 사실을 부인하지 않았습니다. 그런데 이 해킹 사건의 배후에는 한국의 개인정보 암거래상이 있다고 중국 해커들은 전했으며, 또 그들에 의하면 옥션의 발표와 달리 1800만명이 넘는 옥션 전체회원의 정보가 모두 유출되었다고 합니다. 이들 중국 해커들은 중국에서 한국인들을 위해서 일을 하며, 의뢰를 받아 해킹을 해서 한국으로 건네주면 한국의 정보 암거래상들이 다시 한국에 판다고 합니다. 개인정보의 가치는 중국에서 보다 국내에서 더 효용이 있는 것이 당연하겠지만, 이 정보를 습득하..
Web Hacking 5탄 Log Injection log injection이란 sql injection처럼 파라미터를 통해 로깅을 조절하는 방법을 말합니다보통 웹 어플리케이션에서 log4j 등을 이용해 파일에 로깅을 합니다일반적으로는 장애 발생시 에러 추적을 위해 사용됩니다하지만 데이터 유실시 복구 방침으로 로깅을 하기도 하고요, 그냥 말 그대로 그냥 로깅을 하기도 하지요 또한 로그 파일을 파싱하여 무언가 통계를 내기도 합니다(웹CRM)일반적으로 로그인에 대한 로깅을 파일에 다음과 같이 합니다 (로그인예가 아니더라도..)String userid = request.getParameter("userid");...if (로그인성공)    log.write("User login succeeded for : " + userid);..
Web Hacking 4탄 쿠키취약점 말도많고 탈도많은 쿠키!! 어떻게 사용하면 잘사용 하는걸까요?앞으로 나오는 no_document.cookie등은 자동으로 "no_"앞에 가 붙습니다Unicorn3에서 보안상 필터링하게 되어있기 때문입니다 앞에 "no_"가 없는것으로 간주하시면 됩니다① 쿠키취약점쿠키로 인증하는 사이트에 접속하여 로그인한 후 쿠키값 확인을 해봅니다javascript:alert(no_document.cookie) 로그인 하지 않은 상태라면 다음과 같이 세션 아이디만 나오게 되며로그인 한 상태라면 다음과 같이 쿠키이름과 쿠키값을 쌍으로 정보가 출력됩니다관리자 아이디가 goodbug 라고 가정하고 이 아이디로 조작하기 위해서는 다음과 같이 입력합니다javascript:a=prompt(n..
Web Hacking 3탄 구멍난 자바스크립트 1. 시작하기 여러분들은 사용자가 입력한 값에대해 어느정도 검증을 하는지요? 사용자 값을 이것저것 따지고 여러가지 유효성을 체크할려면 아주 귀찮은 일이 아닐수 없습니다 그중에 하나가 웹브라우져에서 실행되는 자바스크립트로 체크하는 방법이 있는데 비지니스 로직이 조금 복잡할때는 자바스크립트로 도배를 하는 경우도 종종 있지요 유효성 검증하는일 저도 정~~말 싫어합니다 하지만 해야 합니다 ㅠ.ㅠ 그럼 어디까지 그 유효성을 체크해야 할까요? 자바스크립트로만 체크하면 될까요? 처음 웹프로그래밍을 할때는 저도 자바스크립트로만 입력값을 검증하면 되는줄 알았습니다 한마디로 몰랐죠 하지만 이제는 알기때문에 자바스크립트뿐만 아니라 서버쪽에서도 동일하게 체크해 주어야 합니다 사용자가 입력한 값이 얼마나 무서운지는 앞의 1탄,..
Web Hacking 2탄 파일조작 1. 시작하기해커가 하나의 웹사이트를 공격하기 위해 많은 시간을 준비한다고 했습니다그중에 가장 먼저 하는것 중에 하나가 바로 파라미터와 그 값에대한 목록 정리 입니다즉 타겟 웹사이트의 모든 URL 파라미터를 GET, POST등으로 정리를 합니다http://xxxxxxxx.com/pds/list1.php?cnum=2http://xxxxxxxx.com/pds/list2.php?cnum=2&snum=21http://xxxxxxxx.com/view.php?fnum=104591http://xxxxxxxx.com/bbs/bbs.php?table=bbs_sw_qnahttp://xxxxxxxx.com/bbs/bbs.php?f=write&table=bbs_sw_qnahttp://xxxxx..
Web Hacking 1탄 Sql Injection Web Hacking 1탄 SQL InjectionWeb Hacking 2탄 파일조작Web Hacking 3탄 구멍난 자바스크립트1. 시작하기가끔 뉴스나 방송에서 xx 사이트 해킹 당했다 라고들 많이 들어보았을 겁니다이런 뉴스를 접할때 대체 어떻게 해서 해킹이 당하는걸까? 라고들 많이 생각해 보았을 겁니다어떻게 해킹이 일어나는지 알아야 방어도 가능하기 때문에 이번 강좌는 웹해킹에 대해 알아볼 것입니다첫번재 시간으로 SQL Injection을 배울 것이며 그다음 두번째에는 파일조작으로 인한 해킹을, 그리고 마지막 시간에는 자바스크립트 조작에 대해 알아보겠습니다도표에서도 알수 있듯이 SQL Injection으로 인한 해킹이 가장 간단하고 쉽기 때문에 이를 가장먼저..