1. 기타 보안공격
ㅇ Key Logging (키 로깅) 또는 Key Logger (키로거), keystroke logger
- 컴퓨터 키보드와 운영체제 사이에서 프로그램 또는 하드웨어 장치를 이용하여,
- 사용자의 키보드 입력을 기록/저장하여,
- 그 내용을 몰래 낚아채는 보안공격(해킹기술)
* 키로깅 구현방법의 대표적인 例) 후킹(Hooking)
ㅇ Man-in-the-middle (중간자 공격, MITM)
- 통신의 두 당사자 중간에서 도청하거나 그 내용을 바꿔치는 보안공격
* 가장 일반적인 방법으로는,
. 통신 중간에 프록시 서비스를 거치도록 하여, 트래픽 캡쳐,분석 등을 시도함
ㅇ Replay Attack (재생 공격,재전송 공격)
- 통신 중에, 부주의, 중간자 공격(Man-in-the-middle) 등으로 유출된 암호,토큰 등을 재사용
- 또는, 유효한 데이터를 중간에 몰래 낚아채어 후에 이를 그대로 재사용/재전송하는 등
- 대책 : 주로, 통신 중 질의 응답에 가장 최근의 공통된 무작위 임시값을 사용하는 등
ㅇ Ping of Death (죽음의 핑)
- 규정 크기 이상의 ICMP 패킷으로 DoS,Crashing,리부팅 등을 유발하는 네트워크 보안공격
ㅇ SQL Injection (SQL 인젝션)
- 개발자가 의도 않는 형태로 SQL문이 변경되게 하는 보안공격
- 통상, 사용자 입력 값에 대한 유효성 검증을 제대로하지 않으면 발생될 수 있음
- 데이터베이스 질의와 관련된 보안 취약점
. 변경된 SQL문에 의한 데이터베이스 제공 함수,시스템 함수를 이용하여 권한 등을 획득
* 1998년 처음 발견된, 간단하면서도 강력한 공격 방법
ㅇ XSS (Cross Site Scripting)
- 게시판 등에서, 입력 및 보기 가능 내용 중에,
. 악의적인 Javascript 코드를 삽입시켜,
. 사용자 브라우저에서, 사용자 모르게, 이를 그대로 실행시키는 보안공격
- (사이트 간에 걸쳐서 사용자 정보 또는 공격용 스크립트 코드가 몰래 전달됨)
. 쉽게, 전자 게시판 등에서 악성 스크립트가 숨겨진 링크 등이 담긴 글을 올려 놓고,
. 이를 무심코 누를 경우에 발생시키는 등
ㅇ Zero Day Attack (제로데이 공격)
- 보안 패치가 발표되기 전에, 바로 그 보안 취약점을 파고들어 악용하는 보안공격