웹 해킹은 웹 사이트 취약점을 공격하는 기술로, 웹 페이지를 통하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴와 같은 행위가 이루어집니다. 특히 웹 애플리케이션을 통해 해킹이 주로 발생됩니다.
OWASP 에서 10대 웹 애플리케이션 취약점을 발표하였고 PLURA V5는 이걸 기준으로 웹 공격 유형 분석을 통해 탐지 패턴을 등록하여 관리하고 있습니다.
해커는 제로데이 취약점이라고 하는, 이전에 보고된 적 없는 새로운 결함을 찾아다니고 있습니다.
이들이 발견한 직후, 보안 전문가들은 exploit 하나가 악용되고 있는 것을 추적 결과 목격할 수 있습니다.
목격 즉시 PLURA V5 사용자는 해당 공격을 탐지 또는 차단하는 필터를 등록할 수 있습니다.
제로데이 취약점이 발표되고 패치되기까지 이를 기다릴 필요 없이 바로 자사의 서버를 보호할 수 있습니다.
해커가 WPScan 이라는 툴을 이용해서 WordPress 취약점을 탐색하고 있습니다. PLURA V5는 이러한 다수의 보안 취약점을 스캐닝 하는 무차별 공격을 탐지/차단을 기본적으로 제공하고 있지 않습니다. 이유 중에 하나는 이것을 모두 탐지한다면 과도한 탐지(과탐)으로 업무 부하를 가중할 수 있는 부작용이 있기 때문입니다. 하지만, 만약 스캔 공격 역시 탐지/차단하고자 한다면, PLURA V5 전체로그를 바탕으로 필터 등록하여 대응할 수 있습니다. WPScan 결과 해당 서버에서 xmlrpc 취약점이 감지되었습니다. xmlrpc 취약점은 Brute Force 공격에 이용되고 있으며, PLURA V5에서 탐지하고 있습니다. 사용자가 WordPress 관리자 ID를 등록하여 사용자 필터화한다면, 공격 여부 탐지를 넘어 ID 유출 여부를 실시간 탐지할 수 있습니다. WordPress는 자체 취약점도 존재하지만 취약한 플러그인을 통한 공격이 대부분입니다. 사용자가 등록한 또는 활성화한 Plugins이 아니라면 매우 큰 보안 위협이 될 수 있습니다. 사용자는 설치된 WordPress Plugins 목록을 취합하여 관리할 필요가 있습니다. 이 목록을 포함 제외하여 활성화된 Plugins에 대한 로그를 실시간 탐지할 수 있습니다. 참조
[그림 2] 사용자필터 WPScan
[그림 3] xmlrpc 감지
[그림 4] xmlrpc 취약점 탐지
[그림 5] Plugins 활성화
[그림 6] 사용자필터 Plugins
https://ko.wikipedia.org/wiki/%EC%9B%B9_%ED%95%B4%ED%82%B9_
