웹 해킹과 보안

panics.egloos.com

포토로그



웹쉘 탐지 웹 해킹 징후분석

(1) 시그니처 탐지

현재까지 알려진 웹쉘에 대해서는 알려진 문자열을 탐지하여 웹쉘의 가능성이 있는 로그를 추출한다. 추출된 url을 확인하는 것은 대상 파일의 소스코드는 물론, 브라우져 상에서의 확인도 필요하다.


(2) 업로드 폴더 분석

파일 업로드가 되는 URL을 미리 파악하여, 이 경로에 속하는 로그를 모두 추출한다. 즉, 파일 업로드 취약점 혹은 업로드 우회공격으로 파일을 업로드 했다면, 그 업로드 어플리케이션에서 파일을 저장하는 경로, 예를 들어 /file/upload/ 로 업로드 하였다면, 해당 경로가 로그에 남게 되므로 이에 대한 로그를 추출한다. 추출된 url 리스트에서 확장자 및 파라미터, 메소드(GET, POST, PUT)를 확인하여 웹쉘일 가능성이 있는 파일들을 추출한다. 추출된 url을 확인하는 것은 대상 파일의 소스코드는 물론, 브라우져 상에서의 확인도 필요하다.


(3) 웹 접속 통계 분석

모든 로그에 대하여 접근 내역을 분석하여, 모든 URL에 대하여 접속한 IP의 수를 계산한다. 즉, 극소수의 IP에서 접근한 URL을 추출하는 방법으로, 횟수에 따라 정렬하여 확인한다. (1)번과 마찬가지로 소스코드는 물론 브라우져 상에서의 확인도 필요하다.


  http://darkangelo.blog.me/90103513949 참고




덧글

댓글 입력 영역