Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
커뮤니티 
‘일간워스트’ 
ilwar.com 
사이트 
공격유입 
사례 
소개 
! 
rainygirl 
2014. 
5.21 
D-­‐CAMP 
! 
rainygirl@gmail.com
hot.coroke.net 
dot.coroke.net 
battlelist.com 
boooki.com 
kuroro.net 
ropipi.com 
indistreet.com 
ilwar.com
5
10
금칙어 체크 
사용자 신고접수로 보완
금칙어 체크 
사용자 신고접수로 보완! 
+! 
활동기록 추적 
상호간의 평판누적 
글 
작성 
투표 
로그아웃 
새로 
가입 
글 
작성 
투표 
로그아웃 
새로가입 
글작성 
로그아웃 
새로가입 
글작성 
투표 
로...
13
똑같이 
입력해주세요 
! 
518민주화운동은광주시민의숭고한희생이다
XSS 
! 
ilwar.com 
공격 
사례
18 
브라우저 
오작동 
유도 
<img 
… 
height=“80000000000000000000”>
GET 
호출 
악용 
<embed 
src=“http://ilwar.com/free/vote/56719/d”> 
<img 
src=“http://ilwar.com/free/vote/56719/d”>
숨은 
태그로 
일베찬양가 
음악 
몰래 
틀기 
<embed 
src=“http://happysky.beartbrea.kr/20…” 
width=0 
height=0>
단축URL로 
우회하기 
<embed 
src=“http://happysky.beartbrea.kr/20…”> 
! 
<EmBed 
src=“http://asd.so/nlb”>
BASE64로 
XSS 
공격 
구현
23 
<div 
style=“filter:glow” 
onfilterchange=“var 
xmlhttp=new 
XMLHttpRequest()… 
xmlhttp.send()”> 
XSS 
공격 
구현
24 
onload 
onerror 
onmouseover 
ontouchstart 
onfilterchange 
ontimeupdate 
onplay 
onabort 
jQuery 
$ 
XMLHttp 
! 
쿠키값 ...
25 
<embed> 
<iframe 
src=””> 
<iframe 
srcdoc=“”> 
<base> 
<script> 
<bgsound> 
<xml> 
<link> 
<xmp> 
<meta> 
XSS 
에 
취약한...
26 
근본적인 
해법 
WhiteList 
BlackList
그래도 
많은 
사람들이 
HTML과 
친해졌으면… 
<a 
href=“”> 
</a> 
<b> 
</b> 
<del> 
</del> 
<img 
src=“”> 
<iframe 
src=“”>
! 
ilwar.com 
서버/네트워크 
공격 
사례
Connected 
to 
ilwar.com. 
Escape 
character 
is 
'^]'. 
ilwar.comilwar.comilwar.comilwar.com 
ilwar.comilwar.comilwar.com...
한곳의 
지시로 
동일패턴으로 
여러 
IP에서 
공격 
유입 
Mozilla/5.0 
(Macintosh; 
U; 
Intel 
Mac 
OS 
X 
10_6_8; 
de-­‐at) 
AppleWebKit/533.21...
31 
사칭 
Mozilla/5.0 
(compatible; 
Googlebot/2.1;
125.184.225.x 
119.201.54.x 
61.73.193.x 
123.254.173.x 
210.223.144.x 
118.46.132.x 
175.223.36.x 
123.254.173.x 
210.223...
33 
GET 
/ 
HTTP/1.1 
GET 
/ 
HTTP/1.1 
GET 
/ 
HTTP/1.1 
GET 
/ 
HTTP/1.1 
GET 
/ 
HTTP/1.1 
GET 
/ 
HTTP/1.1 
GET 
/ 
HT...
GET 
/poli/101847 
HTTP/1.1 
GET 
/poli/101364 
HTTP/1.1 
GET 
/free/27485 
HTTP/1.1 
GET 
/humor/114853 
HTTP/1.1 
GET 
/...
35 
타 
서비스 
활용 
DDoS 
공격 
시도
SYN 
Flooding 
공격으로 
IDC 
직접 
마비시도 
ilwar.com
국내 
여러 
서비스들이 
정치적 
이유로 
공격를 
받고 
있음 
newstapa.com
서비스 
장애유발 
성공여부를 
확인하며 
꾸준히 
공격 
진행
즐기시던지 
아니면 
미리 
막아 
두세요
rainygirl.com 
@rainygirl_
이준행 - 일간워스트 커뮤니티 공격 유입 사례 소개
이준행 - 일간워스트 커뮤니티 공격 유입 사례 소개
이준행 - 일간워스트 커뮤니티 공격 유입 사례 소개
이준행 - 일간워스트 커뮤니티 공격 유입 사례 소개
이준행 - 일간워스트 커뮤니티 공격 유입 사례 소개
이준행 - 일간워스트 커뮤니티 공격 유입 사례 소개
이준행 - 일간워스트 커뮤니티 공격 유입 사례 소개
이준행 - 일간워스트 커뮤니티 공격 유입 사례 소개
이준행 - 일간워스트 커뮤니티 공격 유입 사례 소개
이준행 - 일간워스트 커뮤니티 공격 유입 사례 소개
Upcoming SlideShare
Loading in …5
×

이준행 - 일간워스트 커뮤니티 공격 유입 사례 소개

969 views

Published on

0회 스쿱미디어 세미나에서 일간워스트 운영자 이준행님께서 해주신 강연자료입니다.

Published in: Internet

이준행 - 일간워스트 커뮤니티 공격 유입 사례 소개

  1. 1. 커뮤니티 ‘일간워스트’ ilwar.com 사이트 공격유입 사례 소개 ! rainygirl 2014. 5.21 D-­‐CAMP ! rainygirl@gmail.com
  2. 2. hot.coroke.net dot.coroke.net battlelist.com boooki.com kuroro.net ropipi.com indistreet.com ilwar.com
  3. 3. 5
  4. 4. 10
  5. 5. 금칙어 체크 사용자 신고접수로 보완
  6. 6. 금칙어 체크 사용자 신고접수로 보완! +! 활동기록 추적 상호간의 평판누적 글 작성 투표 로그아웃 새로 가입 글 작성 투표 로그아웃 새로가입 글작성 로그아웃 새로가입 글작성 투표 로그아웃 새로가입 글작성… A,B,C는 J에게 몰표중 D,E,F는 A에게 몰표중
  7. 7. 13
  8. 8. 똑같이 입력해주세요 ! 518민주화운동은광주시민의숭고한희생이다
  9. 9. XSS ! ilwar.com 공격 사례
  10. 10. 18 브라우저 오작동 유도 <img … height=“80000000000000000000”>
  11. 11. GET 호출 악용 <embed src=“http://ilwar.com/free/vote/56719/d”> <img src=“http://ilwar.com/free/vote/56719/d”>
  12. 12. 숨은 태그로 일베찬양가 음악 몰래 틀기 <embed src=“http://happysky.beartbrea.kr/20…” width=0 height=0>
  13. 13. 단축URL로 우회하기 <embed src=“http://happysky.beartbrea.kr/20…”> ! <EmBed src=“http://asd.so/nlb”>
  14. 14. BASE64로 XSS 공격 구현
  15. 15. 23 <div style=“filter:glow” onfilterchange=“var xmlhttp=new XMLHttpRequest()… xmlhttp.send()”> XSS 공격 구현
  16. 16. 24 onload onerror onmouseover ontouchstart onfilterchange ontimeupdate onplay onabort jQuery $ XMLHttp ! 쿠키값 가로채기 사이트 오작동 유도 리다이렉션 브라우저 다운유도 XSS 에 주로 사용되는 이벤트와 기법
  17. 17. 25 <embed> <iframe src=””> <iframe srcdoc=“”> <base> <script> <bgsound> <xml> <link> <xmp> <meta> XSS 에 취약한 태그 <!-­‐-­‐ 닫히지 않은 태그 ! <img> … …
  18. 18. 26 근본적인 해법 WhiteList BlackList
  19. 19. 그래도 많은 사람들이 HTML과 친해졌으면… <a href=“”> </a> <b> </b> <del> </del> <img src=“”> <iframe src=“”>
  20. 20. ! ilwar.com 서버/네트워크 공격 사례
  21. 21. Connected to ilwar.com. Escape character is '^]'. ilwar.comilwar.comilwar.comilwar.com ilwar.comilwar.comilwar.comilwar.com ilwar.comilwar.comilwar.comilwar.com ilwar.comilwar.comilwar.comilwar.com ilwar.comilwar.comilwar.comilwar.com ilwar.comilwar.comilwar.comilwar.com ilwar.comilwar.comilwar.comilwar.com ! HTTP/1.1 400 Bad Request 29
  22. 22. 한곳의 지시로 동일패턴으로 여러 IP에서 공격 유입 Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; de-­‐at) AppleWebKit/533.21.1 (KHTML, like Gecko) Version/5.0.5 Safari/533.21.1
  23. 23. 31 사칭 Mozilla/5.0 (compatible; Googlebot/2.1;
  24. 24. 125.184.225.x 119.201.54.x 61.73.193.x 123.254.173.x 210.223.144.x 118.46.132.x 175.223.36.x 123.254.173.x 210.223.144.x 61.255.249.x 118.46.132.x 121.88.141.x 61.73.193.x 219.240.199.x 61.73.193.x 118.46.132.x 115.161.113.x ...... IP차단 소용없음
  25. 25. 33 GET / HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 GET / HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 GET /free HTTP/1.1 공격자는 지속적으로 취약성을 탐구
  26. 26. GET /poli/101847 HTTP/1.1 GET /poli/101364 HTTP/1.1 GET /free/27485 HTTP/1.1 GET /humor/114853 HTTP/1.1 GET /sports/46521 HTTP/1.1 GET /lgbt/110598 HTTP/1.1 GET /poli/101643 HTTP/1.1 GET /poli/101864 HTTP/1.1 GET /free/102853 HTTP/1.1 GET /free/98473?page=92 HTTP/1.1 GET /free/94721?page=99913 HTTP/1.1 GET /free/93847?page=381 HTTP/1.1 GET /free/48143?page=4972 HTTP/1.1 GET /humor/102843 HTTP/1.1 GET /study/54827 HTTP/1.1 GET /free/19845 HTTP/1.1 34 공격지 부하유발을 위한 지속적인 도전과 진화
  27. 27. 35 타 서비스 활용 DDoS 공격 시도
  28. 28. SYN Flooding 공격으로 IDC 직접 마비시도 ilwar.com
  29. 29. 국내 여러 서비스들이 정치적 이유로 공격를 받고 있음 newstapa.com
  30. 30. 서비스 장애유발 성공여부를 확인하며 꾸준히 공격 진행
  31. 31. 즐기시던지 아니면 미리 막아 두세요
  32. 32. rainygirl.com @rainygirl_

×