보안 분야에서 유명한 Know Your Enemy 시리즈가 Know Your Enemy : Web Application Threats (이하 '이 보고서'로 지칭)를 내놓았습니다. 이 보고서는 2005년 말부터 2006 년 초까지 웹 하니팟을 운영하면서 알게 된 웹 해킹 동향에 대한 정보를 담고 있습니다.
이 보고서는 PHP XMLRPC 취약점, Mambo 취약점, AWStats 취약점, PHPBB 취약점, Zeroboard 취약점, PHPNuke 취약점 등을 공격이 빈번히 발생하는 취약점으로 언급하고 있습니다.
위에 언급되고 있는 취약점들 상당수는 제가 이미 블로그에서
1. http://swbae.egloos.com/1220694 (AWStats 와 PHP XMLRPC)
2. http://swbae.egloos.com/1221580 (Mambo)
3. http://swbae.egloos.com/1222253 (PHPNuke, Coppermine 갤러리)
공격 로그를 보여드리면서 주의를 당부드린 바 있고, 제로보드 취약점에 대해서는 보안 권고문을 발표한 바 있습니다.
위의 취약점들이 주요 취약점으로 언급된 이유는 통계가 수집된 시기와 관련이 있다고 생각됩니다. 2005년 말부터 2006년 초 시기에는 웹 어플리케이션을 공격하는 자동화된 웜(Santy 웜 변종들)이 활발히 활동하던 시기입니다. 때문에 Santy 웜이 공격하는 주요 대상이 통계에 두드러지게 나타난 것이죠.
이 보고서는 웹 어플리케이션의 주요 공격 방법을
1. Code Injection (명령어 삽입)
2. Remote Code-Include (원격 코드 삽입) - PHP 의 include(), require() 함수 등을 공격
3. SQL Injection (SQL 구문삽입)
4. 크로스 사이트 스크립팅
으로 요약하면서, 웹 어플리케이션을 공격하는 Santy 웜, Elxbot 웜, Lupper 웜, Mare 웜에 대해 언급하고 있습니다.
또한 서구권의 웹 해커들이 즐겨 사용하는 PHPShell, C99Shell 등을 화면과 함께 소개하면서, 웹 해킹 공격에 쓰이는 주요 전략들에 대한 설명, 점차 피싱, 봇넷과 연동되는 트렌드에 대한 설명을 하고 있습니다.
끝으로 이번 연구에 사용된 Google Hack Honeypot, PHP Honeypot 에 대해 간략히 소개하고 있는데요, 흥미롭게도 제로보드 취약점을 에뮬레이션 하는 기능을 예제로 들고 있네요.
보고서 말미의 부록으로는 다양한 웜이 사용하는 공격 기법과 공격 로그를 싣고 있고, 봇의 코드 일부를 예제로 보여주어 해커들의 공격 방식에 대한 이해를 돕고 있습니다.
배울 점이 매우 많은 자료이니 꼭 한번 원문을 살펴보시기 바랍니다.
이 보고서의 한계라고 하면, 공격 로그를 수집한 시기 때문에 최근 몇달 간 매우 공격이 활발했던 모 웜에 대한 내용이 빠져있다는 점, 서구권 보안 전문가의 경험을 토대로 작성되어 동양권 해커들의 웹 해킹 툴들이 빠져있다는 점이라고 봅니다. 다행히 모 웜의 경우 활동이 주춤해졌는데요, 이 웜에 대해서는 앞으로 시간이 나면 정리해드리도록 하겠습니다.
이 보고서는 PHP XMLRPC 취약점, Mambo 취약점, AWStats 취약점, PHPBB 취약점, Zeroboard 취약점, PHPNuke 취약점 등을 공격이 빈번히 발생하는 취약점으로 언급하고 있습니다.
위에 언급되고 있는 취약점들 상당수는 제가 이미 블로그에서
1. http://swbae.egloos.com/1220694 (AWStats 와 PHP XMLRPC)
2. http://swbae.egloos.com/1221580 (Mambo)
3. http://swbae.egloos.com/1222253 (PHPNuke, Coppermine 갤러리)
공격 로그를 보여드리면서 주의를 당부드린 바 있고, 제로보드 취약점에 대해서는 보안 권고문을 발표한 바 있습니다.
위의 취약점들이 주요 취약점으로 언급된 이유는 통계가 수집된 시기와 관련이 있다고 생각됩니다. 2005년 말부터 2006년 초 시기에는 웹 어플리케이션을 공격하는 자동화된 웜(Santy 웜 변종들)이 활발히 활동하던 시기입니다. 때문에 Santy 웜이 공격하는 주요 대상이 통계에 두드러지게 나타난 것이죠.
이 보고서는 웹 어플리케이션의 주요 공격 방법을
1. Code Injection (명령어 삽입)
2. Remote Code-Include (원격 코드 삽입) - PHP 의 include(), require() 함수 등을 공격
3. SQL Injection (SQL 구문삽입)
4. 크로스 사이트 스크립팅
으로 요약하면서, 웹 어플리케이션을 공격하는 Santy 웜, Elxbot 웜, Lupper 웜, Mare 웜에 대해 언급하고 있습니다.
또한 서구권의 웹 해커들이 즐겨 사용하는 PHPShell, C99Shell 등을 화면과 함께 소개하면서, 웹 해킹 공격에 쓰이는 주요 전략들에 대한 설명, 점차 피싱, 봇넷과 연동되는 트렌드에 대한 설명을 하고 있습니다.
끝으로 이번 연구에 사용된 Google Hack Honeypot, PHP Honeypot 에 대해 간략히 소개하고 있는데요, 흥미롭게도 제로보드 취약점을 에뮬레이션 하는 기능을 예제로 들고 있네요.
보고서 말미의 부록으로는 다양한 웜이 사용하는 공격 기법과 공격 로그를 싣고 있고, 봇의 코드 일부를 예제로 보여주어 해커들의 공격 방식에 대한 이해를 돕고 있습니다.
배울 점이 매우 많은 자료이니 꼭 한번 원문을 살펴보시기 바랍니다.
이 보고서의 한계라고 하면, 공격 로그를 수집한 시기 때문에 최근 몇달 간 매우 공격이 활발했던 모 웜에 대한 내용이 빠져있다는 점, 서구권 보안 전문가의 경험을 토대로 작성되어 동양권 해커들의 웹 해킹 툴들이 빠져있다는 점이라고 봅니다. 다행히 모 웜의 경우 활동이 주춤해졌는데요, 이 웜에 대해서는 앞으로 시간이 나면 정리해드리도록 하겠습니다.
덧글
LEE 2007/02/27 08:52 # 삭제 답글
기다리겠습니다.
ZIZI 2007/02/27 10:35 # 삭제 답글
음...보긴 봤는데...뭔가 많이 빠진듯한 느낌이 들어서..
ZIZI 2007/02/27 10:37 # 삭제 답글
형이 더 자세하게 써버려염...ㅋㅋ근데, 언제 하산하는거염? 안볼꺼염?
빨랑 하산하고, 얼굴보고, 한잔하자니깐.~~
헐랭이 2007/02/27 12:47 # 답글
ZIZI// 보안전문가 입장에서 보기엔, 내용이 한참 지난 옛날 얘기라서 시시하게 느껴지는 걸지도... 하지만 그럼에도 배울만한 부분이 꽤 있는뒤~ 글구 하산은 3월 첫째주에... 술, 담배는 완전히 끊었기 땀시.. 한잔 말고 다른 잼난거로 하자고~
belba 2007/02/28 11:47 # 답글
최근 웜에 대한 글 기다리겠습니다.
farner 2007/03/09 18:45 # 삭제 답글
개인 블러그 인데도 많이 신경쓰시는거 같은데......헐랭이님 블러그 자주 와서 눈팅하는데
내용이 전문적이어서 초보자가 접근하기는 좀 그렇지만
어느정도 실력이 쌓이면 많이 도움이 될듯 하네요
헐랭이 2007/03/09 22:31 # 답글
farner// 찾아주셔서 감사합니다. 이 블로그는 처음에 제 업무용 메모장으로 출발했습니다. 지금와서 돌이켜보면 제 직업이 이 블로그의 한계가 된 거 같아요. 보안을 대중적으로 풀어내기 보다는 보안전문가들이 흥미를 갖는 내용으로 채워지다보니... 애드센스로 돈벌기는 아예 불가능...올 초에 그 문제에 대해 고민해보았는데, 올해 안에는 대중적인 보안 블로그로 이미지 변신하는 일이 없을 겁니다. 보안 전문가들을 위한 블로그 한 개 정도는 있어도 괜찮을 거 같아요.
inferna 2007/07/06 16:29 # 답글
해킹동향에 대해 여기저기 돌아다니다가 들어오게 됐습니다.제가 해킹쪽을 진로로 택하고 있는 학생인데 많이 배우고 싶습니다.
송재훈 2007/07/06 16:33 # 삭제 답글
헐랭이/술, 담배 빼면 잼난거라면 여자인가? ㅋㅋ 음..나도 egloos에 자리는 만들었는데 올릴것이 없어서 고민 중임
헐랭이 2007/07/07 12:30 # 답글
송재훈 // 허허... 형님이 좋아하시는 걸 왜 적으시는지.... 형수님께 이를꺼에요.