기타 보안공격

(2022-07-30)

Key Logging, 키 로깅, MITM, Man-in-the-middle, 중간자 공격, Ping of Death, 죽음의 핑, Replay Attack, 재생 공격, 재전송 공격, SQL Injection, SQL 인젝션, XSS, Zero Day Attack, 제로데이 공격


1. 기타 보안공격

  ㅇ Key Logging (키 로깅) 또는 Key Logger (키로거), keystroke logger
     - 컴퓨터 키보드와 운영체제 사이에서 프로그램 또는 하드웨어 장치를 이용하여,
     - 사용자의 키보드 입력을 기록/저장하여,
     - 그 내용을 몰래 낚아채는 보안공격(해킹기술)
     * 키로깅 구현방법의 대표적인 例) 후킹(Hooking)

  ㅇ Man-in-the-middle (중간자 공격, MITM)
     - 통신의 두 당사자 중간에서 도청하거나 그 내용을 바꿔치는 보안공격
     * 가장 일반적인 방법으로는,
        . 통신 중간에 프록시 서비스를 거치도록 하여, 트래픽 캡쳐,분석 등을 시도함

  ㅇ Replay Attack (재생 공격,재전송 공격)
     - 통신 중에, 부주의, 중간자 공격(Man-in-the-middle) 등으로 유출된 암호,토큰 등을 재사용
     - 또는, 유효한 데이터를 중간에 몰래 낚아채어 후에 이를 그대로 재사용/재전송하는 등
     - 대책 : 주로, 통신 중 질의 응답에 가장 최근의 공통된 무작위 임시값을 사용하는 등 

  ㅇ Ping of Death (죽음의 핑)
     - 규정 크기 이상의 ICMP 패킷으로 DoS,Crashing,리부팅 등을 유발하는 네트워크 보안공격SQL Injection (SQL 인젝션)
     - 개발자가 의도 않는 형태로 SQL문이 변경되게 하는 보안공격
     - 통상, 사용자 입력 값에 대한 유효성 검증을 제대로하지 않으면 발생될 수 있음
     - 데이터베이스 질의와 관련된 보안 취약점
        . 변경된 SQL문에 의한 데이터베이스 제공 함수,시스템 함수를 이용하여 권한 등을 획득
     * 1998년 처음 발견된, 간단하면서도 강력한 공격 방법

  ㅇ XSS (Cross Site Scripting)
     - 게시판 등에서, 입력 및 보기 가능 내용 중에, 
        . 악의적인 Javascript 코드를 삽입시켜,
        . 사용자 브라우저에서, 사용자 모르게, 이를 그대로 실행시키는 보안공격
     - (사이트 간에 걸쳐서 사용자 정보 또는 공격용 스크립트 코드가 몰래 전달됨)
        . 쉽게, 전자 게시판 등에서 악성 스크립트가 숨겨진 링크 등이 담긴 글을 올려 놓고,
        . 이를 무심코 누를 경우에 발생시키는 등

  ㅇ Zero Day Attack (제로데이 공격)
     - 보안 패치가 발표되기 전에, 바로 그 보안 취약점을 파고들어 악용하는 보안공격

기타 보안공격
   1. 기타 보안 공격   2. 루트킷 공격   3. 백도어 IP   4. 사전 공격   5. 세션 하이재킹   6. 스팸   7. 스푸핑   8. 악성 BOT   9. 오버플로우 공격   10. 익스플로잇   11. 해킹   12. 사회 공학 기법  


Copyrightⓒ written by 차재복 (Cha Jae Bok)       기술용어해설 소액 후원
"본 웹사이트 내 모든 저작물은 원출처를 밝히는 한 자유롭게 사용(상업화포함) 가능합니다"