소개글
"웹해킹"에 대한 내용입니다.
목차
1. 웹 공격 유형 및 실제 사례
1.1. 파일 접근
1.1.1. 디렉토리 리스팅
1.1.2. 임시, 백업 파일 접근
1.1.3. 파일 다운로드
1.1.4. 파일 업로드
1.2. 리버스 텔넷
1.3. 인증 우회
1.4. 패킷 변조
1.5. XSS(Cross-Site Scripting) 공격
1.6. 쿠키 획득 공격
1.7. SQL Injection 공격
1.8. CSRF(Cross-Site Request Forgery)
2. 웹 공격 예방 방안
2.1. 웹 보안 관리 및 업데이트
2.2. 사용자 인증 및 권한 관리
2.3. 입력 데이터 검증
2.4. 보안 솔루션 활용
2.5. 주기적인 취약점 점검
3. 참고 문헌
본문내용
1. 웹 공격 유형 및 실제 사례
1.1. 파일 접근
1.1.1. 디렉토리 리스팅
디렉토리 리스팅은 웹 브라우저에서 웹 서버의 특정 디렉토리를 열면 그 안에 있는 파일과 목록이 모두 나열되는 취약점이다. 공격자는 이를 통해 다양한 정보를 얻을 수 있고 화면에 먼저 보이지 않는 다양한 웹페이지에 직접 접근할 수 있다.
웹 서버에서는 디렉토리 리스팅 기능을 비활성화하는 것이 중요한데, 이를 통해 공격자가 웹 서버의 정보를 수집하거나 민감한 파일에 접근하는 것을 방지할 수 있다. 또한 웹 애플리케이션에서 사용자 입력에 대한 검증을 철저히 수행하여 디렉토리 리스팅 취약점이 발생하지 않도록 해야 한다.
디렉토리 리스팅 취약점은 오래전부터 알려져 왔지만, 여전히 많은 웹 사이트에서 발견되고 있다. 이는 개발자와 관리자의 보안에 대한 인식 부족, 취약점 점검 및 패치 소홀 등에 기인한다. 최근에는 웹 방화벽 등 보안 솔루션을 활용하여 이러한 취약점을 효과적으로 차단하는 사례가 늘어나고 있지만, 근본적인 해결을 위해서는 개발 단계부터 보안을 고려하는 것이 중요하다.
1.1.2. 임시, 백업 파일 접근
웹 서버에서 사용 에디터 등을 이용해 웹 소스를 직접 편집하는 경우, 상용 프로그램에 의해 자동으로 확장자가 old, bak와 같은 백업 파일이 생성되는데, 이러한 임시, 백업 파일에 대한 접근이 가능할 수 있다"" 백업파일에는 원본 웹 페이지의 코드와 구조가 그대로 담겨 있어, 공격자가 이 파일을 통해 다양한 정보를 획득할 수 있다. 이를 통해 공격자는 백업 파일 내 데이터베이스 접속 정보나 암호화되지 않은 중요 데이터, 웹 서버의 취약점 등을 찾아낼 수 있다. 더불어 일부 경우에는 백업파일 내에 명령어와 같은 악성 코드가 포함되어 있어 이를 실행하여 시스템을 장악할 수도 있다. 따라서 웹 서비스 운영 시 백업 파일 생성을 최소화하거나 적절한 접근 제어를 통해 외부 유출을 차단하는 등의 대책이 필요하다"".
1.1.3. 파일 다운로드
파일 다운로드는 웹 공격의 핵심적인 방법 중 하나이다. 공격자는 웹 서버에서 제공하는 파일 다운로드 페이지를 활용하여 시스템 내부 명령어를 실행할 수 있는 웹 프로그램을 올릴 수 있다. 이렇게 올려진 공격용 프로그램은 웹 브라우저를 통해 접근하면 시스템 내부의 명령어를 실행할 수 있게 된다.
일례로 인터넷에서 게임의 버그를 이용해 게임 머니를 무제한으로 사용할 수 있는 프로그램을 내려받아 사용하는 경우, 이 과정에서 인터넷 해킹이나 바이러스 감염이 발생할 수 있다. 이처럼 공격자는 웹 서버에서 제공하는 파일 다운로드 기능을 악용하여 악성코드를 유포할 수 있기 때문에, 파일 다운로드에 대한 주의가 필요하다.
1.1.4. 파일 업로드
파일 업로드는 웹 서버에 사용자가 파일을 올릴 수 있게 하는 기능으로, 이는 웹 공격의 주요 대상이 되고 있다. 공격자는 이 기능을 악용하여 시스템 내부 명령어를 실행할 수 있는 웹 프로그램을 업로드하거나 악성 코드를 삽입한 파일을 업로드할 수 있다. 이를 통해 시스템 내부 정보를 유출하거나 시스템을 제어할 수 있다. 예를 들어, 인터넷에서 게임 버그를 자동으로 실행하여 게임 머니를 무제한으로 사용할 수 있도록 하는 프로그램을 내려받아 사용하다 보면 인터넷 해킹이나 바이러스에 감염되는 경우가 발생할 수 있다. 따라서 파일 업로드 기능을 제공할 때는 파일의 종류와 내용을 철저히 검증해야 하며, 시스템 내부 명령어를 실행할 수 있는 기능이 포함되어 있는지 확인해야 한다. 또한 정규표현식을 사용하여 파일의 확장자를 제한하고, 스크립트 언어가 포함되어 있는지 검사하는 등의 보안 대책을 마련해야 한다.웹 공격의 일환으로 파일 업로드 취약점을 악용하는 사례도 다수 발생하고 있다. 2016년에는 인터넷 쇼핑몰에서 해킹 프로그램을 이용해 결제 금액을 조작하는 사건이 있었는데, 공격자가 웹 서버에 악성 파일을 업로드하여 결제 정보 패킷을 변조함으로써 부당한 이득을 취할 수 있었다. 이처럼 파일 업로드 취약점은 시스템에 침투하여 내부...
참고 자료
박지훈 외, IT 보안의 정석, 매일경제신문사, 2015, p.107~117
박성업, 정보보안 기사 산업기사 한권으로 끝내기, 시대고시기획, 2020, p.284~288
국가기관 방화벽도 뚫렸다, 김인순, 전자신문, 2005.05.31.
다중인증 우회 취약점, 박스 계정 탈취로 이어져, 문가용, 보안뉴스, 2022.01.19.
쇼핑몰 결제대금 어떻게 조작했나? 프록시 툴 악용한 해킹, 김태형, 보안뉴스, 2016.05.11.
정보공개포털서 개인정보 10여건 무방비 노출…뒤늦게 삭제, 미디어데일, 2020.09.15.
[10년 전 오늘] 옥션, 사상초유 1000만명 개인정보 유출사건…결론은?, 김다이, 프라임경제, 2020.01.15.
