Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

커뮤니티 일간워스트 ilwar.com 사이트 공격유입 사례 소개

1,788 views

Published on

2014. 5. 21. D-CAMP 스쿱미디어 세미나 강연자료 입니다

Published in: Technology
  • Be the first to comment

커뮤니티 일간워스트 ilwar.com 사이트 공격유입 사례 소개

  1. 1. 커뮤니티  ‘일간워스트’  ilwar.com   사이트  공격유입  사례  소개   ! rainygirl   2014.  5.21   D-­‐CAMP   ! rainygirl@gmail.com
  2. 2. hot.coroke.net   dot.coroke.net   battlelist.com   boooki.com   kuroro.net   ropipi.com   indistreet.com   ilwar.com
  3. 3. 5
  4. 4. 10
  5. 5. 금칙어 체크   사용자 신고접수로 보완
  6. 6. 금칙어 체크   사용자 신고접수로 보완! +! 활동기록 추적   상호간의 평판누적 글  작성   투표   로그아웃   새로  가입   글  작성   투표   로그아웃   새로가입   글작성   로그아웃   새로가입   글작성   투표   로그아웃   새로가입   글작성… A,B,C는  J에게  몰표중   D,E,F는  A에게  몰표중
  7. 7. 13
  8. 8. 똑같이  입력해주세요   ! 518민주화운동은광주시민의숭고한희생이다
  9. 9. XSS  공격  사례 ! ilwar.com
  10. 10. 18 <img  …  height=“80000000000000000000”> 브라우저  오작동  유도
  11. 11. <embed  src=“http://ilwar.com/free/vote/56719/d”> <img  src=“http://ilwar.com/free/vote/56719/d”> GET  호출  악용
  12. 12. <embed  src=“http://happysky.beartbrea.kr/20…”   width=0  height=0> 숨은  태그로  일베찬양가  음악  몰래  틀기
  13. 13. <embed  src=“http://happysky.beartbrea.kr/20…”>   ! <EmBed  src=“http://asd.so/nlb”> 단축URL로  우회하기
  14. 14. BASE64로  XSS  공격  구현
  15. 15. 23 <div  style=“filter:glow”  
 onfilterchange=“var  xmlhttp=new   XMLHttpRequest()…
 xmlhttp.send()”> XSS  공격  구현
  16. 16. 24 onload   onerror   onmouseover   ontouchstart   onfilterchange   ontimeupdate   onplay   onabort jQuery   $   XMLHttp   ! 쿠키값  가로채기   사이트  오작동  유도   리다이렉션   브라우저  다운유도 XSS  에  주로  사용되는  이벤트와  기법
  17. 17. 25 <embed>   <iframe  src=””>   <iframe  srcdoc=“”>   <base>   <script>
 <bgsound>   <xml>   <link>   <xmp>   <meta>   <!-­‐-­‐   닫히지  않은  태그   ! <img>   …   … XSS  에  취약한  태그
  18. 18. 26 WhiteList BlackList 근본적인  해법
  19. 19. <a  href=“”>  </a>   <b>  </b>   <del>  </del>   <img  src=“”>   <iframe  src=“”> 그래도  많은  사람들이  HTML과  친해졌으면…
  20. 20. 서버/네트워크   공격  사례 ! ilwar.com
  21. 21. 29 Connected  to  ilwar.com.   Escape  character  is  '^]'.   ilwar.comilwar.comilwar.comilwar.com   ilwar.comilwar.comilwar.comilwar.com   ilwar.comilwar.comilwar.comilwar.com   ilwar.comilwar.comilwar.comilwar.com   ilwar.comilwar.comilwar.comilwar.com   ilwar.comilwar.comilwar.comilwar.com   ilwar.comilwar.comilwar.comilwar.com   ! HTTP/1.1  400  Bad  Request
  22. 22. Mozilla/5.0  (Macintosh;  U;  Intel  Mac  OS  X  10_6_8;  de-­‐at)   AppleWebKit/533.21.1  (KHTML,  like  Gecko)   Version/5.0.5  Safari/533.21.1 한곳의  지시로  동일패턴으로  여러  IP에서  공격  유입
  23. 23. 31 Mozilla/5.0  (compatible;  Googlebot/2.1; 사칭
  24. 24. 125.184.225.x   119.201.54.x   61.73.193.x   123.254.173.x   210.223.144.x   118.46.132.x   175.223.36.x   123.254.173.x   210.223.144.x   61.255.249.x   118.46.132.x   121.88.141.x   61.73.193.x   219.240.199.x   61.73.193.x   118.46.132.x   115.161.113.x   ......   IP차단  소용없음
  25. 25. 33 GET  /  HTTP/1.1   GET  /  HTTP/1.1   GET  /  HTTP/1.1   GET  /  HTTP/1.1   GET  /  HTTP/1.1   GET  /  HTTP/1.1   GET  /  HTTP/1.1   GET  /  HTTP/1.1   GET  /free  HTTP/1.1   GET  /free  HTTP/1.1   GET  /free  HTTP/1.1   GET  /free  HTTP/1.1   GET  /free  HTTP/1.1   GET  /free  HTTP/1.1   GET  /free  HTTP/1.1   GET  /free  HTTP/1.1 공격자는  지속적으로  취약성을  탐구
  26. 26. 34 GET  /poli/101847  HTTP/1.1   GET  /poli/101364  HTTP/1.1   GET  /free/27485  HTTP/1.1   GET  /humor/114853  HTTP/1.1   GET  /sports/46521  HTTP/1.1   GET  /lgbt/110598  HTTP/1.1   GET  /poli/101643  HTTP/1.1   GET  /poli/101864  HTTP/1.1   GET  /free/102853  HTTP/1.1   GET  /free/98473?page=92  HTTP/1.1   GET  /free/94721?page=99913  HTTP/1.1   GET  /free/93847?page=381  HTTP/1.1   GET  /free/48143?page=4972  HTTP/1.1   GET  /humor/102843  HTTP/1.1   GET  /study/54827  HTTP/1.1   GET  /free/19845  HTTP/1.1 공격지  부하유발을  위한   지속적인  도전과  진화
  27. 27. 35 타  서비스  활용  DDoS  공격  시도
  28. 28. SYN  Flooding  공격으로  IDC  직접  마비시도 ilwar.com
  29. 29. 국내  여러  서비스들이  정치적  이유로  공격를  받고  있음 newstapa.com
  30. 30. 서비스  장애유발  성공여부를  확인하며  꾸준히  공격  진행
  31. 31. 즐기시던지   아니면   미리  막아  두세요
  32. 32. rainygirl.com @rainygirl_

×