주의사항 : 이 포스팅은 개인 학습 및 교육적 목적으로 작성되었으며, 제공하는 정보를 악용하여 불법적인 행위를 하는 것은 엄격히 금지되어 있습니다. 웹 취약점 진단은 해당 웹사이트의 소유자의 명시적인 허가 없이는 수행해서는 안되며, 웹 취약점을 발견하였을 경우 즉시 해당 웹사이트의 소유자나 관리자에게 알려야 합니다.
자동화 공격
: 웹 애플리케이션의 정해진 프로세스에 자동화된 공격을 수행함으로써 자동으로 수많은 프로세스가 진행되는 취약점이다. DoS(Denial of Service), 무차별 대입 기법(Brute-Forcing), 데이터베이스 과부하 등 다른 취약점 공격을 일으킬 수 있다.
점검 절차
- 로그인 시도, 게시글 등록, SMS 발송 등에 대한 정상적인 요청 정보를 식별하여 반복적으로 요청 시 통제가 이루어지는지 확인한다.
보안 대책
- 데이터 등록 시 일회성이 될 수 있는 별도의 토큰을 사용한다.
- captcha를 사용한다.
- 다량의 패킷 전송 방지를 위해 IDS/IPS에서의 탐지 규칙을 추가한다.
출처
https://gomguk.tistory.com/73
한국인터넷진흥원(KISA) 2021년 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 (기반보호팀 이풍환) https://www.kisa.or.kr/2060204/form?postSeq=12&page=1#fnPostAttachDownload
IT 보안, 관심 있는 것을 공부합니다.