| 2011년 6월 20일 전자신문 1면에 본과에 대한 내용이 실렸습니다. 3대 웹 공격을 조심하라 … ''''''''SQL 인젝션·웹 셸·XSS 스크립트'''''''' 5분안에 다뚫려 #. 해커가 SQL인젝션(SQL injection) 공격을 감행했다. 10초 만에 서버에 침입했다. 이후 DB에 있는 개인정보를 찾아 탈취하기까지 걸린 시간은 단 5분. #. 해커가 웹 셸을 실행하자 DB 개인정보를 긁어가는 것은 물론, 시스템의 모든 정보를 빼 갈 수 있었다. 백도어를 만들어두고 수시로 서버에 드나들 수 있게 설정했다. 이 모든 과정에 걸린 시간은 3분여 가량. #. 해커가 ‘관리자님 질문 있습니다’라는 제목을 달고 게시판에 자바스크립트 구문을 삽입한 글을 올리는 ‘XSS스크립트’ 공격을 실행했다. 관리자가 그 글을 클릭한 순간 관리자의 PC는 해커의 손아귀에 넘어갔다. 해커는 관리자 PC의 쿠키를 모두 가로채는 형태로 서버 권한을 획득, 서버에 있는 정보를 훔쳐갔다. 여기에 걸린 시간은 1분. 로그인창이나 게시판에 특정 문자열을 입력했을 때 나타나는 오류를 이용, 개인정보를 탈취하고 악성코드를 삽입하기 위한 SQL인젝션 공격에 불과 5분이 소요됐다. 웹 서버에 명령을 실행해 관리자 권한을 획득하는 웹 셸 공격에는 3분이, 악성코드를 유포하거나 특정 사이트로 사용자를 유도하는 XSS 스크립트 공격에는 겨우 1분이 필요했다. 본지와 본교 사이버해킹 보안과가 가장 간단하면서도 심각한 사태를 불러올 수 있는 SQL 인젝션과 웹 셸, XSS 스크립트 등 3가지 웹 공격을 시연해 본 결과, 이같이 나타났다. ... 중략 ... 기사원문 : http://www.etnews.co.kr/news/detail.html?id=201106190050 Vlink : |
