자동화 공격
: 웹 애플리케이션의 특정 프로세스에 자동화 공격 수행 시 요청이 통제되지 않고 수많은 프로세스가 실행되는 취약점
자동화 공격은 Dos, 무차별 대입 공격 뿐만 아니라 다량의 패킷을 요청하는 Blind SQL Injection의 자동화 공격을 수행하는 데 사용될 수 있다.
[보안 방법]
- 로그인 시도, 게시글 등록, SMS 발송 등에 대한 사용자 요청이 일회성이 될 수 있도록, 캡차(이미지를 이용하여 확인 값을 표시하고 사용자가 값을 등록하여 인증함) 등 일회성 확인 로직을 구현하여야 함
- 자동화 공격을 시도하면 짧은 시간에 다량의 패킷(양)이 전송되므로 이를 공격으로 감지하고 방어할 수 있는 IDS/IPS 시스템을 구축하여야 함. 서버에 요청되는 패킷(양)의 모니터링이 불가능한 경우 적시에 적절한 대응이 어려움
+)
하지만 자동화 공격 취약점은 거의 잡지 않는다고 한다. 대역폭을 많이 차지하고 스트레스성 공격이므로 취약점을 찾으려다 서버를 망가뜨릴 수 있기 때문이다.
(https://aawjej.tistory.com/150)
'웹 해킹 > 기타 웹 취약점' 카테고리의 다른 글
| [주통기 웹 취약점] 경로 추적, 위치 공개 (0) | 2024.02.26 |
|---|---|
| [주통기 웹 취약점] 프로세스 검증 누락, 관리자 페이지 노출 (0) | 2024.02.26 |
| [주통기 웹 취약점] 세션관련 취약점 3가지 | 세션 예측, 불충분한 세션 만료, 세션 고정 (0) | 2024.02.26 |
| [주통기 웹 취약점] 약한 문자열 강도, 취약한 패스워드 복구 (0) | 2024.02.26 |
| [주통기 웹 취약점] 정보 누출, 악성 콘텐츠 (0) | 2024.02.26 |
