컴퓨터2008.09.09 14:29

다음 구문은 Scripting.FileSystemObject 를 이용해서 하위폴더를 포함한 특정 디렉토리내의 특정패턴을 가진 파일명을 가진 파일을 기준으로 특정코드를 추가하는 스크립트 입니다.

소스 열기..

Scripting.FileSystemObject 라는 개체를 이용하는 방법을 사용합니다.
웹사이트에서는 주로 파일에 대한 정보를 가져올때나, 실제 파일이 있는지를 체크하는 방법으로 많이 사용됩니다.

참고 : [MS기술문서] ASP 페이지에서 텍스트 파일을 조작하는 방법

윈도우서버에서 내장되어 있는 것이고, 웹사이트내에서 파일을 연결하는 부분에 제약이 발생하기때문에 이를 제거할수도 없습니다.

위와 같은 파일변조를 막는 방법은 웹소스의 변경 권한을 제거하는 방법뿐입니다.

사용자 삽입 이미지

Posted by Zasfe
컴퓨터2008.06.10 10:15
웹나이트 로그를 분석하다 보면 여러가지 정보를 수집하려는 하기도 하고, 흥미로운(?) 웹해킹로그를 발견하게도 됩니다.

시스템정보를 알아보기 위해 사용하는 프로그램은 여러가지가 있습니다.
사용자가 직접 만든 프로그램일수도 있으며, nmap 과 같이 무료로 배포되어서 사용되는
프로그램도 있습니다

하지만 대걔 특정 프로그램을 이용해서만 해킹시도를 하는 경우를 많습니다. 즉 사용자 에이젼트가 어떤것인지만 안다면 어느정도 차단을 할수 있는 웹해킹시도가 많다는 것입니다.

저는 다음과 같은 Webknight 로그를 매일 리포팅 받고 있습니다.
다음은 Webknight 로그를 파싱한 화면으로 특이한 부분이 발견되었습니다.


처음 구문부터 분석을 해보도록 하겠습니다.
 13:03:20 ; W3SVC440 ; OnUrlMap ; 140.129.22.12 ; ; ; ; GoogleBot ; #########
  시간        사이트ID     차단된분류   접속자 IP             사용자에이젼트

즉, 13시 03분 20초에 W3SVC440 의 사이트 ID 를 가지는 웹사이트로 (140.129.22.12)라는 공인 IPAddress 를 가지는 사용자가 GoogleBot 이라는 사용자에이젼트를 이용해서 접속을 시도하다가 차단된 예입니다.

이런.. 구글봇(GoogleBot) 인것 같습니다. 다음은 구글의 구글봇 도움말입니다.
[ 구글 웹마스터 도움말 센터 ]
Googlebot: 웹 색인 및 Google 뉴스 색인의 페이지 크롤링
링크 : 웹마스터 도움말 센터

그렇다면 정말 구글봇(googlebot) 이 이 웹사이트를 해킹하려 했다는 말일까요?

일단, 공격자 정보를 확인해보겠습니다.

타이완으로 타이페이에 할당된 IP 라고 합니다. 호스트명이 imail.ttu.edu.tw 인것으로 봐서는 타이완쪽 학교내 컴퓨터인듯합니다.

공격자는 학교내 컴퓨터를 이용해서 사용자에이젼트를 변경하는 방법으로 웹방화벽을 우회하고자 하였지만 SQL 인젝션차단설정에 의해서 차단되었습니다.

일반적으로 웹해킹은 거의 비슷한 사용자 에이젼트를 가지는 특성이 있습니다.
같은 툴을 사용해서 코드만 바뀌기때문이죠.

하지만 이렇듯 사용자 에이젼트는 수정이 가능하기때문에 에이젼트로 막는것은 약간의 도움은 되겠지만, 해결책이 되지는 못하는것 같습니다.

참고로 webknight 2.1 은 사용자 에이젼트로 차단하는 설정이 있으니 참고하시기 바랍니다.

덧글. 사용자 에이젼트에 의한 차단을 테스트할때는 다음 도구를 이용하면 편리하다
Posted by Zasfe

티스토리 툴바