1. WEB access log 형식 2. WEB access log 위치 3. WEB access log 분석

Presentation on theme: "1. WEB access log 형식 2. WEB access log 위치 3. WEB access log 분석"— Presentation transcript:

1 1. WEB access log 형식 2. WEB access log 위치 3. WEB access log 분석

2 WEB access log 분석 1. WEB access log 형식 Page  2

3 M$ IIS access log 형식 #1 HOST; 10.75.176.21 AuthUser; -
– :55:20 W3SVC TREY GET small.gif Mozilla/3.01Gold(Win95-1) HOST; 도메인 이름 또는 IP 주소 기록 AuthUser; - 등록된 사용자 이름 Time; :55:20 Service; W3SVC ServerName; TREY 1 ServerIP; DownLoadTime; 4502 (ms) Page  3

4 M$ IIS access log 형식 #2 Receipt; 163 (bytes) Volume; 3223 (bytes)
– :55:20 W3SVC TREY GET small.gif Mozilla/3.01Gold(Win95-1) Receipt; 163 (bytes) 웹 브라우저로부터 수신한 바이트 수량 Volume; 3223 (bytes) 요청자에게 응답으로써 전송한 데이터 량 Status; 200 WindowsNTStatus; 0 Request method; GET Filename; small.gif Agent; Mozilla/3.01Gold(Win95-1) Page  4

5 APACHE access log 형식 #1 CLF: Common Logfile Format HOST; 157.55.85.138
NCSA 계열의 웹 서버 로그 형식 대부분의 웹 서버에서 사용 – doug [07/Jun/1996:17:39: ] *POST /iisadmin/default.html HTTP/1.0 * HOST; RFC931; - AuthUser; doug Page  5

6 APACHE access log 형식 #2 Time; [07/Jun/1996:17:39:04-0880]
– doug [07/Jun/1996:17:39: ] “POST /iisadmin/default.html HTTP/1.0” Time; [07/Jun/1996:17:39: ] [dd/mon/yyyy:hh:mm:ssx####] x: +, - ####: 시차 Request; “POST /iisadmin/default.html HTTP/1.0” Status; 200 Volume: 3401 Page  6

7 2. WEB access log 위치 Page  7

8 M$ IIS access log 위치 Page  8

9 M$ IIS Cookie log 남기기 쿠키 (cs(Cookie)) 체크 Page  9

10 APACHE access log 위치 기본 위치 로그 위치 설정 Cookie 설정 /usr/local/apache/logs/
httpd.conf Customlog /var/log/httpd/access_log Errorlog /var/log/httpd/error_log Cookie 설정 LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" \"%{Cookie}i\"" combined Page  10

11 3. WEB access log 분석 Page  11

12 WEB access log 분석 절차 해킹 절차 정보수집 ( 스캐닝, id추측, 웹 서버 취약점 체크 등) 공격 대상 선정
( 금전적 목적, 명예, 테스트 등) 정보수집 ( 스캐닝, id추측, 웹 서버 취약점 체크 등) 취약점 분석 ( 취약점 exploit 수집, source code 분석 등) 취약점 공격 ( DDoS, XSS, SQL Injection등 ) 분석 절차 ※ 실제 공격 / 분석 절차를 다를 수도 있음 Page  12

13 WEB access log 불러오기 Excel의 활용 Excel의 컬럼 구분 기능
Page  13

14 WEB access log 분석 정보 수집 / 분석
담당자와 미팅 후, 공격 정보 수집 ( 시간, access_log, backdoor등) access_log 정확한 공격시간대가 확보되면, 해당 시간대에 대한 검색을 통해 추가 정보 수집 참고 : ‘POST’ Method 집중 검색 ‘GET’ Method 검색 시, “’(single quote), ;, %20”를 통해 집중 검색 파일 검색 기능을 통해, 변경된 파일 유/무 확인 기타 시스템 event 및 보안로그 확인 Page  14

15 잘못된 Method 사용 정의되지 않았거나 사용하지 않는 Method의 사용 GET POST 대응 쿼리 요청
entity body의 부재 Content-Length의 잘못된 표현 대응 Invalid HTTP Request Method Filtering Page  15

16 Status Line 200 OK 500 Internal Error 대응
SQL Injection 등과 같은 악의적인 접근에 대한 정상 응답 500 Internal Error 지속적인 접근 시도 접근 시도 IP 확인 대응 IP Filtering IP Blocking Error Handling Page  16

17 User-Agent User-Agent 사칭 접근 가능 널리 알려진 스캔 및 프록시 툴 User-Agent Mozilla
MSIE Windows NT Gecko Firefox Safari Opera 널리 알려진 스캔 및 프록시 툴 User-Agent Paros Nikto Watchfire, AppScan Page  17

18 웹보안지원팀 이기봉 Q&A 18

19 Thank You 19