웹 해킹 기술

웹은 기본적으로 인터넷 브라우저, 웹 서버, 데이터베이스 3개의 요소로 구성.

 

인터넷 브라우저 : 사용자의 입력 처리, 웹 서버로부터 받은 데이터를 가공해 화면을 구성.

웹 서버 :             http 요청을 분석해 정해진 기능 수행. 데이터 처리가 필요한 경우 데이터 베이스를 연결해 관련                                작업 수행.

데이터베이스     : 데이터를 안전하게 관리, 자료 입력과 조회 기능 지원.

 

파일 업로등 기능일 이용해 웹 셸 파일과 악성 코드를 업로드 한다. 업로드한 파일의 위치를 알아내 웹 셸 파일을 실행하면 해커는 웹 서버 장악 가능.

 

 

1. XSS(Cross-SITE Scripting)

게시판 게시물에 악성코드를 포함하는 스크립트를 심어놓고 게시물 읽은 사용자 pc에서 개인정보를 추출하는 해킹 기법.

악성 코드는 대부분 스크립트 코드, 쿠키를 읽어 특정 url로 전송하는 기능 수행. 현재는 장비발달로 인해 공격 빈도 감소

 

 

2.CSRF(Cross Site Request Forgery)

게시판에 악성코드 삽입, 사용자가 해당 게시물 읽으면 공격이 수행 됨.(XSS와 비슷)

차이점은 사용자 pc를 통해 웹 서버 공격. 

 

 

3. 피싱

은행이나 증권사이트와 비슷한 웹사이트 만들어, 사용자의 금융정보나 개인정보 타루치하는 기법. 

 

 

4. 파밍

DNS를 해킹, 정상적인 도메인 이름을 호출해도 위장 사이트가 전송되게 하는 해킹 기술. 

위장 사이트의 IP가 사용자 브라우저에 정송되면 사용자는 해커가 만든 웹 사이트에 개인정보를 입력하게 됨.

 

 

5. SQL 인젝션

HTML input 태그를 활용.

브라우저에서 사용자 아이디와 비밀먼호를 입력받아 웹 서버로 전달하면 웹 서버는 데이터베이스에 일치하는 정보가 있는지 sql문을 통해 확인.

이때 아이디와 비밀번호에 일반적인 값을 넣는 것이 아니라, 데이터베이스에 오동작을 유발할 수 있는 값 입력.

다양한 비정상 sql문을 반복적으로 입력하면서 데이터를 관찰하면 시스템 해킹이 가능한 sql 문 획등 가능.

 

 

6. 웹 셸 (web shell)

웹에서 제공하는 파일 업로드 기능 악용. 서버를 원격에서 조정할 수 있는 파일을 웹 서버를 통해 업로드.

해커는 업로드 한 파일 위치를 파악하고 접근 가능한 url을 찾아냄.

이 url을 통해 웹 셸 파일을 실행해서 운영 체제를 통제할 수 있는 강력한 권한 획등 가능.