웹 해킹에 대한 모니터링 방법
페이지 정보
작성자 서방님 댓글 0건 조회 208회 작성일 06-09-14 16:38본문
2005년 8월부터 웹 해킹이 본격적으로 이뤄지기 시작했다. 지금에 와서야 많은 웹 해킹에 대해 연구가 이뤄지고 이에 대한 방어책도 하나 둘씩 나오고 있지만, 완벽하다고 생각되는 방법은 없다. 웹 해킹은 실제 웹 서버에서도 발생할 수 있지만, 실제로는 옆에 있는 서버가 해킹을 당하면서 내 서버까지 덩달아 당하게 되는 현상도 발생되고 있다. 이러한 상황이기에 내 사이트만은 안전하다고 생각하기 어렵다. 이러한 웹 해킹의 결과물로 Internet Explorer나 Outlook Express의 취약점을 통한 공격이 이뤄지고 있다. 대부분의 이러한 공격의 대상은 보안 패치가 잘 되지 않은 윈도우 시스템이 그 대상이다.
실제 클라이언트에서 발생하는 취약점은 크게 HTML 도움말 취약점과 Outlook Express의 취약점이다. HTML 도움말 취약점이란 .chm, .mht 파일을 읽을 때 이를 윈도우 시스템 권한으로 실행해버리는 취약점이고 Outlook Express의 취약점은 위의 오류가 Outlook Express에서도 자동으로 실행되어버리는 취약점이다.
Outlook Express의 취약점은 POP3를 지원하는 백신이나 웹메일을 사용하는 경우 대부분 스팸 메일로 인식되거나 바이러스 메일로 인식되어 잘 걸리지는 않는다. 실제 걸리는 경우는 백신의 POP3 기능이 미흡한 경우나 백신이 아예 없는 경우인데, 주로 일반 회사에서 발생하게 된다. 주로 “미리보기” 기능을 활성화 해둔 경우가 그 대상이며 “미리보기”의 특성상 한번의 실수가 평생을 좌우한다.
따라서 실제로 일반 사용자가 접하기에 Outlook Express의 취약점 보다는 HTML 도움말의 취약점이 더 자주 볼 수 있다.
HTML 도움말의 취약점은 특정 사이트에 방문하였을 때 다음과 같은 형식으로
소스가 박혀 있는 경우에 발생한다. 소스는 iframe으로 가로세로 0인 페이지를 열고 해당 htm 파일은 Encode.Jscript와 같은 형식으로 암호화되어 있다. 실제 소스는 외부에 있는
위 소스는 가로 세로의 크기가 0인 iframe이므로 사용자의 눈에는 보이지 않는다. 그리고 해당 페이지에서는 .chm파일을 실행하기 위해서 외부의 파일을 링크한다. 하지만 보안 패치가 된 경우라면 다음과 같은 이벤트 뷰어가 남는다
위 이벤트 뷰어는 웹 해킹을 당한 사이트에서 쉽게 응용프로그램 로그로 볼 수 있다. .chm파일의 취약점을 통해 .mht를 받고 이를 실행하게 하려 했지만 이벤트 뷰어에 오류로 남았다는 메시지이다. 이 메시지에 대해서 더 자세한 정보를 알고 싶다면 http://support.microsoft.com/kb/896054 문서를 참고하도록 한다.
따라서 위 이벤트 로그를 주기적으로 띄울 수 있고 주기적으로 검사할 수만 있다면, 사이트가 정상인지 아닌지를 판별할 수 있는 근거가 된다. 주기적으로 사이트를 띄워보기 위해서 사람이 F5를 누르는 것도 좋지만 다음과 같은 스크립트로 해결할 수도 있다
----------------- 5분에 한번씩 새로 고침 하는 스크립트 ------------------
----------------------------------------------------------------
-------------- 한번씩 이벤트 뷰어를 점검하는 스크립트 --------------
----------------------------------------------------------------
위의 두 개의 스크립트를 통해 사이트가 실제 웹 해킹을 당해있다고 알려주었지만, 실제 어느 파일에 걸렸는지를 찾아내는 것은 전적으로 알림을 받은 당신의 몫이겠죠.
실제 클라이언트에서 발생하는 취약점은 크게 HTML 도움말 취약점과 Outlook Express의 취약점이다. HTML 도움말 취약점이란 .chm, .mht 파일을 읽을 때 이를 윈도우 시스템 권한으로 실행해버리는 취약점이고 Outlook Express의 취약점은 위의 오류가 Outlook Express에서도 자동으로 실행되어버리는 취약점이다.
Outlook Express의 취약점은 POP3를 지원하는 백신이나 웹메일을 사용하는 경우 대부분 스팸 메일로 인식되거나 바이러스 메일로 인식되어 잘 걸리지는 않는다. 실제 걸리는 경우는 백신의 POP3 기능이 미흡한 경우나 백신이 아예 없는 경우인데, 주로 일반 회사에서 발생하게 된다. 주로 “미리보기” 기능을 활성화 해둔 경우가 그 대상이며 “미리보기”의 특성상 한번의 실수가 평생을 좌우한다.
따라서 실제로 일반 사용자가 접하기에 Outlook Express의 취약점 보다는 HTML 도움말의 취약점이 더 자주 볼 수 있다.
HTML 도움말의 취약점은 특정 사이트에 방문하였을 때 다음과 같은 형식으로
소스가 박혀 있는 경우에 발생한다. 소스는 iframe으로 가로세로 0인 페이지를 열고 해당 htm 파일은 Encode.Jscript와 같은 형식으로 암호화되어 있다. 실제 소스는 외부에 있는
위 소스는 가로 세로의 크기가 0인 iframe이므로 사용자의 눈에는 보이지 않는다. 그리고 해당 페이지에서는 .chm파일을 실행하기 위해서 외부의 파일을 링크한다. 하지만 보안 패치가 된 경우라면 다음과 같은 이벤트 뷰어가 남는다
위 이벤트 뷰어는 웹 해킹을 당한 사이트에서 쉽게 응용프로그램 로그로 볼 수 있다. .chm파일의 취약점을 통해 .mht를 받고 이를 실행하게 하려 했지만 이벤트 뷰어에 오류로 남았다는 메시지이다. 이 메시지에 대해서 더 자세한 정보를 알고 싶다면 http://support.microsoft.com/kb/896054 문서를 참고하도록 한다.
따라서 위 이벤트 로그를 주기적으로 띄울 수 있고 주기적으로 검사할 수만 있다면, 사이트가 정상인지 아닌지를 판별할 수 있는 근거가 된다. 주기적으로 사이트를 띄워보기 위해서 사람이 F5를 누르는 것도 좋지만 다음과 같은 스크립트로 해결할 수도 있다
----------------- 5분에 한번씩 새로 고침 하는 스크립트 ------------------
----------------------------------------------------------------
-------------- 한번씩 이벤트 뷰어를 점검하는 스크립트 --------------
----------------------------------------------------------------
위의 두 개의 스크립트를 통해 사이트가 실제 웹 해킹을 당해있다고 알려주었지만, 실제 어느 파일에 걸렸는지를 찾아내는 것은 전적으로 알림을 받은 당신의 몫이겠죠.
첨부파일
- script.zip (1.2K) 1회 다운로드 | DATE : 2008-09-08 11:43:00
댓글목록
등록된 댓글이 없습니다.
