웹해킹

무선모바일 중간고사 정리 

 

웹해킹

국내 해커의 역사

1986년 KAIST의 김창범이 ‘유니콘’이라는 해커 동아리를 만든 것이 시초

1991년 KAIST에 해커 그룹 ‘쿠스’가 만들어지고 포항공과대학교에 ‘플러스’가 생김.

KAIST와 포항공과대학교 간의 유명한 해킹 전쟁이 일어난 후 쿠스 해체

쿠스 멤버 중 하나였던 김휘강(현 고려대학교 정보보호대학원 교수)은 보안을 강조한 시큐리 티카이스트를 만듦.

1990년대 : 시스템과 네트워크의 취약점을 공략하는 공격 기법이 거의 대부분 (당시 통신 프로그램이 전화 모뎀을 이용했기 때문)

1990년대 후반 : 국내 1세대 해커들이 보안 전문 회사를 만들고 언더그라운드에서 오버그라 운드로 전환하여 본격적으로 활동 전개

수많은 보안 회사가 생겨나고 널루트, 와우해커와 같은 언더해커 그룹 등장

2000년 : 제1회 세계정보보호올림페어(일명 국제해킹왕중왕대회) 개최

2001년 : 제2회 해킹왕중왕대회 개최

truefinder, Xpl017Elz(X82) 등의 해커가 큰 활약을 함.

P2P 메신저 프로그램이 처음 나오면서 사람들의 호기심과 관심을 불러일으킴.

 

1990년대 중반부터 방화벽, IDS와 같은 네트워크 보안 장비가 개발되면서 웹 해킹 발전

닷컴 열풍이 불면서 해커들이 점차 웹에 관심을 가지면서 웹의 취약점 연구도 활발하게 진행

 

포트(Port)

영어로 ‘항구’라는 뜻

‘인터넷의 바다’, ‘인터넷 항해’라는 말이 쓰인 것도 한 시스템의 포트에서 데이터가 출발하여 인터넷이라는 바다를 건너 다른 시스템의 포트에 도달하는 흐름이었기 때문

2000년 중반부터는 거의 모든 시스템이 방화벽으로 보호되어 80번 웹 포트 외에는 모두 닫혀 있는 경우가 많아져 웹 해킹이라는 주제가 많이 연구됨.

 

웹 해킹 방법

취약점의 존재 여부를 확인한 후 그곳을 통해침투를 시도하는 방법

발견 가능한 모든 공격 표면을 찾아서 매트릭스를 작성한 후 하나씩 시도하는 방법

 

과정

대상선정 > 정보수집 > 취약점 분석 > 공격 > report,defacement 흔적제거

 

공격 대상 선정

 일반적으로 방문자가 많은 대표적인 웹 사이트를 주요 공격 대상으로 선정

 기업과 계약하여 모의해킹을 할 때는 주로 공격 대상 목록을 사전에 선정

 외부에서 접근할 수 있는 모든 대상을 선정해도 무방할 경우 관련 도메인을 모두 검색한 후 가장 취약한 곳을 대상으로 함.

 

정보 수집

 공격 대상이 보유하고 있는 외부 접점 중에서 웹 사이트를 통해 웹 애플리케이션을 개발할 때 사용한 언어, 웹 사이트 내 주요 공격 대상의 기능, 웹 서버의 종류 등을 알아보는 것

 공격 대상의 특성과 취약한 표면을 찾음.

 

자동화 도구를 이용한 웹 사이트 탐색 및 분석

 공격할 웹 사이트에 접속한 후 취약점이 가장 많이 발생하고 영향력이 큰 영역을 먼저 조사

 웹 사이트를 탐색하면서 사용자 로그인 부분, 게시판이나 자료실처럼 파일을 업로드할 수 있는 부분이 있는지 살펴봄.

 웹 사이트의 디렉터리 구조나 소스코드 간의 연관성과 같은 기본 정보를 얻을 수 있는지 파악

 

Burp Suite로 웹 사이트 정보 수집

웹 사이트 접속

③ ~ ④ 프록시 설정 후 동작 확인

브라우저의 [도구]-[인터넷 옵션]-[연결]을 선택 후 <LAN 설정> 클릭

브라우저를 ‘새로 고침’하여 프록시가 제대로 동작하는지 확인

 

Intercept 설정 해제

[Proxy]-[Intercept] 탭에서 <Intercept is on>을 클릭하여 <Intercept is off>로

변경되면 정상적으로 패킷이 흘러가게 한 후 [Spider] 탭을 클릭

Spider 실행

 [Spider] 탭에서 <Spider is paused>를 클릭하면 Spider가 실행되고 Requests made와 Bytes transferred가 증가하면서 웹 사이트의 정보를 가져옴.

 [Target] 탭에 들어가면 방문한 사이트의 디렉터리 구조와 파일 목록, HTML 소스코드 구조 등을 파악할 수 있음.

 

브라우저의 확장 기능을 이용한 웹 사이트 탐색 및 분석

 인터넷 익스플로러의 [도구] 메뉴에 웹 애플리케이션 개발자가 웹 사이트의 구조를 쉽게 파악하기 위해 만들어놓은 [F12 개발자 도구] 메뉴가 있음.

 

검색 엔진을 이용한 정보수집

 가장 쉽게 많은 정보를 수집하는 방법

site: 특정 사이트만 선택해서 집중적으로 검색할 때 사용

filetype: 특정 파일 타입을 검색할 때 사용

link: 특정 링크가 포함된 페이지를 검색할 때 사용

cache: 백업된 데이터를 볼 때 사용

intitle: 디렉터리 리스팅에 취약한 사이트를 검색할 때 사용 intitle의 위험성이 많이 알려져 요즘은 intitle로 검색해도 결과가 예전만큼 많이 나오지 않음.

inurl: site와 유사한 기능으로, 특정 URL만을 대상으로 검색

예) ‘inurl:admin/login.asp .com’으로 검색하면 URL이 ‘.com’ 이면 admin/login.asp 페이지가 있는 사이트를 검색

 

스캐닝 도구를 이용한 정보 수집

 웹 스캐닝 도구를 이용하면 웹 서버의 종류와 버전, 디렉터리 정보나 중요한

 파일 정보가 존재하는지 여부, 웹 서버 자체의 취약점 등을 검사할 수 있음.

 

OWASP TOP 10

 웹 애플리케이션 보안에 대한 정보를 공유하고 체계를 세우는 자발적인 온라인 정보 공유 사 이트

 2001년 12월 마크 커페이와 데니스 그로브스 등에 의해 탄생

 2004년 ‘OWASP Top 10’이라는 웹 애플리케이션상의 10대 주요 취약점 발표

 우리나라는 2011년 1월 OWASP Korea Chapter 이사회가 조직되어 활동 전개