[활동 정리]/[2024]하계 모각코 개인

[2024 하계 모각코] "화성갈끄니까" [5회차] 계획 및 결과

DevCat_ 2024. 7. 20. 18:55

5회차 목표 : 모의 해킹 및 시나리오 공부

 

일정 : 7/19

 

5회차 공부 내용 : 정보 보안 취약에 대한 종류 및 시나리오 조사

해킹으로 인한 시나리오들을 찾아보고, 어떤 전략을 취하는 지 공부하면서 정보 보안의 기틀을 잡도록 하였다.

 

공격의 종류

  • SQL Injection & Code Injection
  • XSS
  • Denial of Service[Dos] (그리고 Distributed Denial of Service [DDos])
  • Malware
  • Phishing
  • DNS Spoofing
  • Zero-Day Attack

SQL Injection은 프로그램 및 웹 입력창에 SQL문을 작성하여 의도적으로 서버 데이터의 접근할 수 있는 것이다. Code Injection도 비슷한 양상으로 어떤 방식으로 코드를 삽입-실행시켜 본 의도와는 다른 수행을 할 수 있도록 하는 것이다.

 

XSS(Cross-Site Scripting)는 공격자가 상대방의 브라우저에 악성 코드를 실행되도록 하여 중요 정보 탈취 및 사용자의 세션을 가로챌 수 있으며 피싱이나 웹 사이틏변조로 피해 사용자에게 감염된 응답을 보내도록 한다. 대부분 사용자들이 읽고 쓸 수 있는 게시판에서 발생하며, 사용자의 입력 값을 웹페이지에 표시하는 곳에서도 공격이 발생할 수 있다.

 

Dos는 압도적인 트래픽으로 시스템 및 네트워크의 관리 능력을 벗어나도록 하여 중요한 서비스를 불가하도록 만드는 것이다. 코로나 판데믹 이후로 온라인 서비스의 중요성이 높아진 때에 자주 일어나 몸값을 지불하도록 하게 했다.

 

Malware는 다양한 형태, 다양한 목표를 가지고 수행되는 악성 소프트웨어이다. 시스템의 수행을 방해, 손상하도록 한다. 대표적인 유형으로 랜섬웨어가 있으며 트로이 목마, 봇넷 멀웨어, 크립토마이너 등등의 여러 목표 및 수행에 따라 분류된다.

 

Phishing은 공격자가 중요한 정보를 탈취하기 위해서 사용자를 속이는 공격이다. 친숙한 혹은 합법적으로 보이는 사이트 및 서비스로 위장하여 사용자의 정보를 탈취하는 사용자 기만 공격이다. 악성 링크 클릭, 첨부 파일을 열도록 하는 것이 더 쉬운 경우가 많기 때문에 일반적인 사용자들에게 위험하다.

 

DNS Spoofing은 공격대상이 DNS IP 주소를 조작 및 DNS 서버 정보를 조작하여 사용자의 의도와 유사한 사기 사이트로 리디렉션시킨다. 피싱에서 많이 사용된다. DNS 프로토콜에서 가장 빨리 온 응답만을 채택하기 때문에 위조된 응답이 갈 수 있다. hosts 파일을 이용하여 가장 우선적으로 처리되도록 하면 당할 일 없으며 DNS BIND를 최신버전으로 업그레이드하면 당할 일 없는 성공률이 떨어지는 공격이다.

 

Zero-Day Attack은 취약점을 발표하고, 보완된 것들이 사용자들에게 반영되기까지 그 시간안에 그 취약점에 대해 공격하는 것이다. 패치 적용 전에 해커들이 적극적으로 악용하는 것.

 

시나리오(라고 하기엔 아쉽지만)

SQL Injection은 쿼리문을 삽입하여 변환된 것들을 보고 데이터베이스 구조 파악 및 허점을 파악해낸다. SQL문으로 다른 정보들을 읽어오고 없애고 하면서 공격하는데, 데이터베이스 수업 때 배운 권한에 대해서 보안을 철저히 할 수 있으며 애초에 입력에 올바르지 않은 양식을 제출하는 것들을 제외하면서 방어할 수 있다.

 

XSS 공격은 공격자가 웹 사이트(게시판 등)를 공격하여 악의적인 스크립트를 삽입한다. 이용자들은 접속하여 악성 코드들에 의해 세션이나 입력값들을 탈취당하게 된다. 세션 획득으로 인한 타 사용자들의 권한으로 악성코드를 피해 사용자의 PC에 삽입할 수 있다.

 

Unrestricted Access to Sensitive Business Flows는 공격자가 API의 비즈니스 처리 방식을 파악하여 Unrestricted 말 그대로 무제한으로 동작을 수행하여 공격받는 쪽의 비즈니스가 불리하도록 만드는 것이다. 예를 들어 인기있는 뮤지컬의 티켓을 해당 공격으로 무제한으로 동작을 수행하여 다른 사용자가 티켓을 예매하기 전에 모두 구매하여 되팔이할 수 있는 것이다.

 

SSRF(Server Side Request Forgery)는 과거에도 문제를 많이 일으켰는데, API 쪽에서도 문제를 야기한다. 서버 사이드 리퀘스트 말 그대로 웹의 서버에 위조된 HTTP 요청으로 서버 데이터 탈취 및 동작에 문제를 일으키도록 한다. 데이터를 검증 없이 사용할 때 문제가 발생한다. 

 

 

등등 OWASP 10도 참고하고, 여러 책들을 보고 찾으며 정보 보안에 대해서 공부하였다.