![]()
크리덴셜 스터핑 공격(Credential Stuffing Attack) 이란? Brute Force 공격의 일종으로서 미리 확보해놓은 로그인 자격증명(Credential)을 다른 계정에 무작위 대입(Stuffing)하며 다양한 서비스에 대입해 계정을 탈취하는 공격 방식 → 간단히 말해 개인정보가 유출되고 해당 개인정보에 계정 정보도 포함되는 경우 해당 아이디와 패스워드를 활용하여 여러 사이트(서비스)에 계정과 패스워드를 바꿔가며 로그인을 시도하여 계정을 훔치는 방식의 공격 공격의 대상은 사용자의 PC부터 기업의 서버, DB까지 넓게 확장될 수 있으며 기업이 취약점에 노출되는 경우 수많은 고객들의 민감한 정보가 피해를 입을 수 있다. 피해 사례 암호화폐 거래소의 개인 계정을 해킹하여 보유한 암호화폐를 출금..
![]()
타이포스쿼팅 공격(Typosquatting Attack) 이란? 사회공학(Social) 기법의 일종으로서 정상 도메인과 비슷한 이름의 도메인을 등록해두고 이를 정상적인 도메인으로 착각하여 접속한 피해자에게 사기 또는 악성코드 배포와 같은 악의적인 영향을 끼치는 공격 ex) 네이버 도메인(www.naver.com)를 타겟으로 wwwnaver.com 등의 도메인을 생성하여 사용자를 속이는 방식 피해 범위 부당 이득 : 타이포 도메인을 정상 도메인 소유자에게 되팖 광고 사기 : 타이포스쿼팅으로 인해 방문한 방문자들을 이용해 광고로 수익을 얻거나 해당 페이지의 경쟁사로 리디렉션, 제휴 링크를 통하여 정상 도메인으로 리디렉션하여 수수료 수취 정보 탈취 : 피싱 사이트의 로그인 페이지를 통해 인증 정보, 민감 정보..
![]()
SQL 주입(SQL Injection) 웹 해킹의 가장 대표적인 사례로서 웹 소스의 보안 취약점을 이용하여 데이터베이스에 요청하는 SQL을 임의의 값으로 변조하여 의도된 동작과는 다른 동작을 하게 하여 원하는 데이터를 생성 또는 얻어내는 공격이다.가장 큰 특징은 저비용으로 고효율의 결과물을 얻어낼 수 있다는 것이다.DDoS등의 공격 방식처럼 비용이 많이 필요하지 않고 SQL 주입 공격은 단순 PC 한 대면 원하는 결과물을 얻어낼 수 있다. OWASP(Open Web Application Security Project)에서는 정보 유출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며 4년마다 한번 웹 취약점 순위 Top10을 발표하는데 이 목록에서 가장 높은 순위가 매겨져있다.(2017년) 피해 사례..
![]()
버퍼 오버플로우(Buffer Overflow) 시스템 공격의 대표적 방법중 하나로 메모리에 할당된 공간보다 더 큰 데이터를 입력하여 데이터가 메모리 공간을 벗어나게 되는 취약점이다. C 또는 C++을 사용해 프로그램을 개발할 때 메모리 공간을 제한하지 않는 함수(API)를 사용하여 발생하는 취약점이다. 취약한 함수는 다음과 같다. strcpy, strcat, gets, fscanf, scanf, sprintf, sscanf, vfscanf, vsprintf, vscanf, vsscanf, streadd, strecpy, strtrns 스택 버퍼 오버플로우 공격(Stack Buffer Overflow Attack) 스택에는 지역변수, 인자(argument), 함수 리턴 주소(RET 값)이 저장되어 있는데 ..
