자동화 공격 취약점은 웹에 대한 정보변경 시도 횟수 제한을 설정하지 않고 방치하면, 웹사이트를 다운시키거나 무차별 대입 공격으로 인해 사용자 계정을 탈취할 수 있거나, 데이터를 등록할 수 있는 취약점 입니다.
해커가 게시판에서 게시글 등록을 하는 경우, 아무런 제한이 없는 것을 확인하면 자동화 도구를 통해서 데이터를 몇십 몇백만건을 계속해서 넣는 그러한 공격을 예로 들 수 있겠습니다.
#방법1
자동화 공격을 시도하면 짧은 시간에 다량의 패킷이 전송되므로 감지하고 방어할 수 있는 IDS(침입 탐지 시스템) / IPS(침입 방지 시스템) 형식의 서비스를 사용하면 좋습니다.
구글, 네이버 및 AWS같은 클라우드 서비스 같은 경우에 이러한 기능이 대부분 잘 적용이 되어 있지만, 일반적으로 구축된 서버에서는 이러한 기능이 없는 것이 현실 입니다.
웹 어플리케이션 서버에서의 조치가 어려우므로 클라우드서비스를 활용하거나 아니면 IDS / IPS 형식의 서비스를 도입하는 것이 현명 합니다.
#방법2
웹 어플리케이션 서버에서 가능한 방법으로는, CSRF 방지 기능을 구축하여 특정 글에 대한 등록, 수정, 삭제 행위의 요청을 1회성으로 만드는 것 입니다.
등록을 하는 행위를 1번하면 CSRF키 값을 새로운 키로 바꾸어버려 이러한 자동화공격이 실행되면 키 값이 일치하지 않음을 통해서 방지를 하는 것 입니다.
https://lts0606.tistory.com/549
14. 크로스 사이트 리퀘스트 변조(CSRF)
크로스 사이트 리퀘스트 변조는 사이트간 요청위조를 의미 합니다. 피해자의 권한으로 피해자 모르게 해커가 요청을 수행 하도록 만드는 것을 의미 합니다. 웹 취약점에서 자주 언급되면서 반
lts0606.tistory.com
#방법3
CSRF 방지기능과 비슷하게 구현 할 수 있는 기능이 캡차(CAPTCHA)기능입니다.
이러한 캡차 기능은 데이터를 등록, 수정, 삭제하는 페이지에 이동시에 발행하여 일치여부를 확인받게 합니다.
마찬가지로 서버에서는 해당 캡차의 성공유무를 확인받는 기능이 필요 하겠습니다.
캡차의 내용이 맞지 않으면 등록, 수정, 삭제요청이 틀린 행위로 간주 할 수 있기 때문 입니다.
이상으로 자동화공격(AU) 조치 방법에 대해서 간단하게 살펴보았습니다.
궁금한점 또는 틀린 부분은 언제든 연락주세요! 👻
'웹 취약점(Web vulnerability)' 카테고리의 다른 글
| 21. 파일 업로드(PU) (0) | 2021.12.09 |
|---|---|
| 20. 프로세스 검증누락(PV) (0) | 2021.12.09 |
| 18. 세션고정(SF) (0) | 2021.12.08 |
| 17. 불충분한 세션만료(SC) (0) | 2021.12.07 |
| 16. 불충분한 인가(IN) (0) | 2021.12.07 |
댓글