web 어플리케이션 공격기법의 종류

1. Cross Site Scripting(크로스 사이트 스크립팅)  = XSS공격

게시판이나 웹 메일 등에 악의적인 스크립트를 삽입하여 비정상적인 페이지가 보이게해 타 사용자의 사용을 방해하거나 쿠키 및 기타 개인정보를 특정 사이트로 전송하는등의 문제

2. SQL Injection(SQL문 삽입공격)

웹어플리케이션에 의도적으로 sql문을 삽입하여 로그인 인증과정을 우회하거나 공격자의 악의적인 쿼리문을 DB에 보낼수 있는 문제

3. Parameter Manipulation(파라미터 변조)

웹어플리케이션이 사용자의 파라미터값을 검증하지 않을경우 이를 악용하여  어플리케이션이 비정상적으로 동작하게끔 하는 문제

4. Brute Force Attacks(반복[사전식]공격)

Get이나 Post방식으로 인증하는 페이지에서 특정 ID에 대해 패스워드를 무한 입력하여 해당 ID의 패스워드를 획득할수 있는 문제

5. Buffer Overflows(버퍼오버플로우)

웹서버에서 구동되는 실행파일에 비정상적인 버퍼 값을 입력시켜 시스템을 다운 시키거나 관리자권한을 획득하는 문제

6. Session Hijacking/Cookie Spoofing (세션 가로채기,쿠키변조)

웹 어플리케이션과 클라이언트간 주고받는 정보를 임의적으로 변경하거나 쿠키정보를 변조하여 인증을 회피하거나 중요정보를 획득하는 문제

7. User Cgi Upload(사용자cgi 업로드)

사용자가 악의적인 목적으로 웹어플리케이션에서 수행가능한 cgi프로그램을 (asp,jsp,php,perl등)업로드하여 서버를 공격하는 문제

8. Remote Administration Flaws(관리자 페이지 접속 공격)

인터넷상에 공개된 관리자 페이지를 다양한 방법으로 공격하여 관리자권한 획득을 시도하는 문제

9.  Directory/Path Traversal (디렉토리/경로 탐색)

웹서버 설정상의 오류나 중요 파일의 위치오류를 이용하여 디렉터리 리스팅을 통해 특정파일에 접근하거나 중요정보를 획득할수있는 문제

WEB공격들은 종래의 OS공격과는 달리 다음과 같은 몇가지 특징들이 있습니다.

- 방화벽,IDS등 기존의 보안대책으로는 대응하기 어렵다.

- 반드시 서버관리자 권한을 뺐는것이 목적이 아니다.

- 각 WEB어플리케이션마다 공격의 패턴이 다르다.

- 바이러스나 웜이 아니므로 백신에서 탐지되지 않는다.

- 대부분 공격의 흔적이 로그에 남지않는다.