Post on 30-Jun-2015
description
커뮤니티 ‘일간워스트’ ilwar.com 사이트 공격유입 사례 소개 !rainygirl 2014. 5.21 D-‐CAMP !rainygirl@gmail.com
hot.coroke.net dot.coroke.net battlelist.com boooki.com kuroro.net ropipi.com
indistreet.com ilwar.com
5
10
금칙어 체크 사용자 신고접수로 보완
금칙어 체크 사용자 신고접수로 보완!
+!활동기록 추적 상호간의 평판누적
글 작성 투표 로그아웃 새로 가입 글 작성 투표 로그아웃 새로가입 글작성 로그아웃 새로가입 글작성 투표 로그아웃 새로가입 글작성…
A,B,C는 J에게 몰표중 D,E,F는 A에게 몰표중
13
똑같이 입력해주세요 !
518민주화운동은광주시민의숭고한희생이다
XSS 공격 사례
!
ilwar.com
18
<img … height=“80000000000000000000”>
브라우저 오작동 유도
<embed src=“http://ilwar.com/free/vote/56719/d”>
<img src=“http://ilwar.com/free/vote/56719/d”>
GET 호출 악용
<embed src=“http://happysky.beartbrea.kr/20…” width=0 height=0>
숨은 태그로 일베찬양가 음악 몰래 틀기
<embed src=“http://happysky.beartbrea.kr/20…”> !
<EmBed src=“http://asd.so/nlb”>
단축URL로 우회하기
BASE64로 XSS 공격 구현
23
<div style=“filter:glow” onfilterchange=“var xmlhttp=new
XMLHttpRequest()… xmlhttp.send()”>
XSS 공격 구현
24
onload onerror onmouseover ontouchstart onfilterchange ontimeupdate onplay onabort
jQuery $ XMLHttp !
쿠키값 가로채기 사이트 오작동 유도 리다이렉션 브라우저 다운유도
XSS 에 주로 사용되는 이벤트와 기법
25
<embed> <iframe src=””> <iframe srcdoc=“”> <base> <script> <bgsound> <xml> <link> <xmp> <meta>
<!-‐-‐ 닫히지 않은 태그 !
<img> … …
XSS 에 취약한 태그
26
WhiteList
BlackList
근본적인 해법
<a href=“”> </a> <b> </b>
<del> </del> <img src=“”>
<iframe src=“”>
그래도 많은 사람들이 HTML과 친해졌으면…
서버/네트워크 공격 사례
!
ilwar.com
29
Connected to ilwar.com. Escape character is '^]'. ilwar.comilwar.comilwar.comilwar.com ilwar.comilwar.comilwar.comilwar.com ilwar.comilwar.comilwar.comilwar.com ilwar.comilwar.comilwar.comilwar.com ilwar.comilwar.comilwar.comilwar.com ilwar.comilwar.comilwar.comilwar.com ilwar.comilwar.comilwar.comilwar.com !HTTP/1.1 400 Bad Request
Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; de-‐at) AppleWebKit/533.21.1 (KHTML, like Gecko) Version/5.0.5 Safari/533.21.1
한곳의 지시로 동일패턴으로 여러 IP에서 공격 유입
31
Mozilla/5.0 (compatible; Googlebot/2.1;
사칭
125.184.225.x 119.201.54.x 61.73.193.x 123.254.173.x 210.223.144.x 118.46.132.x 175.223.36.x 123.254.173.x 210.223.144.x 61.255.249.x 118.46.132.x 121.88.141.x 61.73.193.x 219.240.199.x 61.73.193.x 118.46.132.x 115.161.113.x ......
IP차단 소용없음
33
GET / HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1
공격자는 지속적으로 취약성을 탐구
34
GET /poli/101847 HTTP/1.1 GET /poli/101364 HTTP/1.1 GET /free/27485 HTTP/1.1 GET /humor/114853 HTTP/1.1 GET /sports/46521 HTTP/1.1 GET /lgbt/110598 HTTP/1.1 GET /poli/101643 HTTP/1.1 GET /poli/101864 HTTP/1.1 GET /free/102853 HTTP/1.1 GET /free/98473?page=92 HTTP/1.1 GET /free/94721?page=99913 HTTP/1.1 GET /free/93847?page=381 HTTP/1.1 GET /free/48143?page=4972 HTTP/1.1 GET /humor/102843 HTTP/1.1 GET /study/54827 HTTP/1.1 GET /free/19845 HTTP/1.1
공격지 부하유발을 위한 지속적인 도전과 진화
35
타 서비스 활용 DDoS 공격 시도
SYN Flooding 공격으로 IDC 직접 마비시도
ilwar.com
국내 여러 서비스들이 정치적 이유로 공격를 받고 있음
newstapa.com
서비스 장애유발 성공여부를 확인하며 꾸준히 공격 진행
즐기시던지 아니면
미리 막아 두세요
rainygirl.com
@rainygirl_