웹 모의해킹_2(DVWA를 활용한 Command Injection, Brute Force)

안녕하세요, 오늘은 두 가지 해킹 공격에 대해서 정리해 보았습니다.

 

바로 "Command Injection" 과 "Brute Force" 입니다.

 

해당 공격에 관해서 DVWA를 통해 실습을 하고 정리를 하여 발표를 준비했습니다.

 

[발표 자료]

[38주차] 웹 모의해킹 실습_2(Command Injection, Brute Force).pdf

0.84MB

 

 

*자세한 실습 내용은 발표 자료에 있습니다.

 

[4줄 요약]

 

1. Command Injection은 애플리케이션을 실행 중인 서버에서 임의의 운영체제 명령을 실행할 수 있는 취약점입니다. 이를 통해 공격자가 시스템 명령으로 OS 상태를 확인하여 공격 대상 분석과 OS 구성을 변형하여 공격할 수 있습니다.

 

2. 대응방안

• 입력 값 검증 및 화이트리스트 적용해서 허용 값만 통과
• 가능한 시스템 명령 사용 대신 내부 API 사용
• 웹서버 계정 권한 최소화
• 모니터링&로그를 실시간 확인 및 대응 체계 구성

3. Brute Force는 무차별 대입 공격이라고 하며, 비밀번호, PIN 번호, 암호화 키를 무작위로 계속해서 입력함으로써 해킹을 시도하는 공격 방식입니다. 이로인해 개인정보가 유출되어 2차적인 피해가 발생할 수 있습니다.

 

4. 대응방안

• 대소문자, 숫자, 특수문자를 조합한 긴 비밀번호를 사용하도록 정책 강화
• 일정 횟수 이상 로그인 실패 시 계정을 일시 잠금 하거나, 추가 인증 설정
• CAPTCHA를 적용하여 사람이 아닌 자동화 도구의 접근을 차단
• 비밀번호 외에 OTP, SMS 코드 등의 인증 절차 설정
• WAF에 자동화 공격을 탐지하고 차단하는 시스템을 구축

---

오늘은 이렇게 DVWA를 활용해서 Command Injection과 Brute Force 이 어떠한 방식으로 이뤄지는 지 알 수 있었습니다.

 

또한 이를 활용해서 해커는 어떤 추가적인 방법으로 공격일 이어갈지에 대한 생각도 해보는 시간을 가졌습니다.