안녕하세요. 이호스트데이터센터 IDC컨설팅 지게꾼입니다.
오랜만에 보안관련 포스팅을 작성하는 것 같습니다. 올해 가장 큰 프로젝트였던 메인 IDC를 이전해야하는 프로젝트가 있어서 여름내내 운영센터에서 살다시피 한 것 같습니다. ^^
50개도 넘는 랙을 이전 시나리오 일정계획에 따라 원활하게 이전완료가 되었습니다.
내년부터는 이호스트IDC가 본격적으로 Security Center 운용을 통한 고객사 관리가 용이할 듯 하며, LG, KT, SK 등 다중 ISP 2회선을 통한 DR센터구축도 가능하여 고객사의 인프라를 보다 퀄리티있게 관리할 수 있게 되었습니다.
오늘은 웹해킹에서 가장 위협적인 인젝션 공격 'SQL_Injection'에 대해서 포스팅하고자 합니다. 아래 내용은 실제 고객사 해킹시도 사례를 통해 공유하고자 합니다.
웹해킹 SQL_Injection 계열의 공격은 OWASP 에서 1위에 랭크되어 있는 만큼 가장 다양하며 위험한 공격입니다.
사용자 요청에 따라 동적으로 데이터를 생성하는 SQL 구문에 악의적인 SQL 문을 강제로 삽입하는 공격으로 취약한 어플리케이션의 경우 비정상으로 인증을 받거나 SQL 결과값을 리턴받을 수 있습니다.
실제 웹방화벽 보안장비에서 탐지된 해킹시도 캡쳐자료를 확인해보도록 하겠습니다.
- 웹해킹시도 일자 : 2016년 12월 16일
- 웹해킹 시도 국가 : 미국,프랑스,러시아 등등..
- 탐지유형 : SQL인젝션
웹해킹 시도된 서버IP 및 클라이언IP, 도메인에 대해서는 보안관련정보라서 blur처리했습니다.
아래 자세한 로그를 보면 요청탭에 declare로부터 시작하여 알아볼 수 없는 문구처럼 보이지만, 해당 GET Request값을 디코딩해보면 쉽게 확인할 수 있습니다.
SQL인젝션 공격은 국정원 8대 취약점 및 OWASP TOP10에 매년마다 상위에 랭키되는 공격유형입니다.
실제적으로 게시판등을 통해서 파라미터 값을 넣어서 사이트의 오류를 발생시키고, 오류페이지에 노출되는 정보를 통해 DB테이블명, 컬럼정보 등을 유추해서 조합하여 완선된 DB테이블 정보값을 취득할 수 있게 됩니다.
아래 정보는 위의 값을 URL디코딩으로 전환하여 분석하면 다음과 같은 쿼리내용의 문구를 확인하실 수 있게 됩니다.
굳이 GET 스트링값에서 DB선언을 할때 사용되는 declare를 시작으로 INNER JOIN , While 등의 DB 명령어들이 요청값으로 나올 수 없는 부분이며, 해당 부부은 POST 파라미터 값에서 처리를 하면 되는데, 결국 SQL인젝션 공격임을 증명하는 자료라고 볼 수 있습니다.
이 모든 탐지내역은 웹방화벽 보안장비에서 모니터링 된 결과값이며, 고객에게 안내하여 소스 보안 및 웹방화벽 강화를 통해 보안을 구성했던 사례입니다.
실제적으로 어떤 고객들도 웹방화벽 탐지장비 없이는 자신들의 서버가 지속적으로 웹해킹 시도가 있었고, 결국 해킹성공을 통한 데이티 분실 및 변조에 이르게 되기까지 감지할 수 없게 됩니다.
왜냐면, 웹방화벽 없이 방화벽 보안만 적용해서는 막을 수 없는 웹서비스 port인 80포트를 통한 정상 트래픽으로 간주되기 때문입니다.
보안관련 Tip.
웹사이트의 403,404 오류페이지부터해서 모든 오류페이지는 그대로 노출시키지 말고, 메인 index페이지로 리다이렉션 걸어서 오류정보또한 노출되지 않도록 하는 것이 시간과 비용을 들이지 않고, 간단하면서도 효과적인 보안방법 중에 한가지입니다.
이호스트IDC 모든 고객분들에게 유료서비스인 웹방화벽 보안서비스를
Level 1.(웹해킹 탐지)까지 무료로 지원해드리며,
이를 통해 모든 웹서버를 통한 웹해킹 시도를 실시간으로 탐지하여 고객에게 제공합니다.
서비스문의 | |
◎ IDC영업팀 : 070-7600-7311 070-5137-4402 | ◎ 메일주소 : request@ehostidc.co.kr |
◎ 스카이프 : ehostIDC Hosting Manager | |
'[IT 알아보기] > 보안 이슈' 카테고리의 다른 글
| 이호스트IDC, PHPMailer 원격코드 실행 취약점 주의 권고 (0) | 2016.12.28 |
|---|---|
| EhostIDC. 일본,홍콩 IDC. Cisco 제품군 다중 취약점 보안 업데이트 권고 (0) | 2016.12.26 |
| EhostIDC. 일본,홍콩,한국IDC MS 12월 보안 위협에 따른 정기 보안 업데이트 권고 (0) | 2016.12.15 |
| EhostIDC. NTP 다중 취약점 보안 업데이트 권고 (0) | 2016.12.12 |
| EhostIDC. 일본,홍콩,한국IDC MS 보안 위협에 따른 정기 보안 업데이트 권고 (0) | 2016.11.28 |