์น
Web Log & Packet Analysis
Last updated
Web Log & Packet Analysis
Last updated
OWASP ํญ: OWASP TOP 10์ ๊ธฐ๋ฐ์ผ๋ก ๋ก๊ทธ ๋ถ์. ์ฝ๋, ๋ถ๋ฅ, ๊ณต๊ฒฉ ์ฝ๋, ํํฐ๋ช ์ ๊ณต
์ฝ๋: OWASP TOP 10 (A1~A10) ๋ฐ ์ฌ์ฉ์ ์ ์(U1)๋ก ๊ตฌ์ฑ
์ฝ๋ ์์ธ ์ ๋ณด๋ ์ธ๋ถ ๋งํฌ ์ ๊ณต
์ ์ถ์ ๋ณด: ์น ์๋ฒ์ ์๋ต ๋ณธ๋ฌธ์์ ํ์ง๋ ๋ฐ์ดํฐ ์ ๊ณต (๊ธฐ๋ฐ์ ๋ณด, ์ฌ์ฉ์ ์ ๋ณด ๋ฑ)
์ํ๊ฐ: ์น ์๋ฒ์ ์๋ต ์ํ ์) 200(์ ์), 404(ํ์ด์ง ์์), 500(์๋ฒ ์๋ฌ)
์ํ๊ฐ ์์ธ ์ ๋ณด๋ ์ธ๋ถ ๋งํฌ ์ ๊ณต
์๋ต: ์น ์๋ฒ ์๋ต ํฌ๊ธฐ(Byte) ์ ๊ณต, ํฌ๊ธฐ๊ฐ ํด ๊ฒฝ์ฐ ๋ฐ์ดํฐ ์ ์ถ ๊ฐ๋ฅ์ฑ ์์
๋ฉ์๋: RFC ํ์ค ๊ธฐ๋ฐ 9๊ฐ์ง๋ก ๋ถ๋ฅ (GET, POST, PUT ๋ฑ), ๋นํ์ค ๊ฐ์ noneRFC๋ก ํ์
GET, POST, CONNECT, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE
์์ฒญ ๋ณธ๋ฌธ: ์์ฒญ์์ Request-body (Post-body) ์ ๋ณด ์ ๊ณต
์น ์๋ฒ์ ๋ฉ๋ชจ๋ฆฌ ๋๋ ํจํท์์ ์์ง ๋ฐ ๋ถ์ ๊ฒฐ๊ณผ ์ ๊ณต (์ธ๊ณ ํนํ ๊ธฐ์ )
OWASP ํญ ํ๋จ ๋ฉ๋ด ์๋ด
์ฌ์ ์ก ๊ณต๊ฒฉ ๋ฒํผ: ์กฐ๊ฑด ์ถฉ์กฑ ์์๋ง ๋ ธ์ถ, ํ๋กํ ์ฝ ๋ฐ ํฌํธ ๋ณ๊ฒฝ ๊ธฐ๋ฅ ์ ๊ณต
๊ธฐ๋ณธ https : 443, http : 80, ์ฌ์ฉ์ ์ ์ ํฌํธ ์ค์ ๊ฐ๋ฅ
https๋ฅผ ์ฌ์ฉํ์ง ์๋ ๊ฒฝ์ฐ, http:80 ์ ํ ๋ฐ 8080 ๋ฑ์ ์ฌ์ฉ์ ์์ ํฌํธ ๋ณ๊ฒฝ ์ฌ์ฉ ๊ฐ๋ฅ
์ค์ ๋ ๊ฐ์ ์ฌ์ฉ์ ๋ธ๋ผ์ฐ์ ์ ์ ์ฅ๋จ
curl:// ๋ฒํผ: ๊ณต๊ฒฉ ์ฝ๋ ๋ณต์ฌ ๊ธฐ๋ฅ ์ ๊ณต, ๋ช ๋ น์ฐฝ์์ ์คํ ๊ฐ๋ฅ
curl ๋ณต์ฌ ๊ธฐ๋ฅ ์์
'@log-172.16.1.0-2024-01-03-15_37_09.978.txt' ๋ณ๋ ํ์ผ ๋ค์ด๋ก๋ ์ ๊ณต
๊ด๋ฆฌ > ์ฐ๋ > ํฐ์ผ: ์ฐ๋ํ ์์คํ ์ผ๋ก ๋ก๊ทธ ์ ์ก
๋ณต์ฌ: ๋ก๊ทธ ์์ธ ์ ๋ณด ๋ณต์ฌ ๊ธฐ๋ฅ
์ ์ถ์ ๋ณด ํญ: ์๋ต ๋ณธ๋ฌธ์ ๋ถ์ํ์ฌ ๋ฐ์ดํฐ ์ ์ถ ์ฌ๋ถ ๋ฐ ์์ธ ์ ๋ณด ์ ๊ณต
์น ํํฐ ํ์ง: ๋ฐ์ดํฐ ์ ์ถ ๋ฐ์ ์ ์ ์ถ ํญ๋ชฉ ํ์
๋ก๊ทธ ์์ธ ํญ: ์น ๋ก๊ทธ ๋ฐ ํจํท์์ ์์ง๋ ์๋ณธ ๋ก๊ทธ๋ฅผ json ํํ๋ก ์ ๊ณต
ํค ๊ฐ์ ์์คํ ํ๊ฒฝ์ ๋ฐ๋ผ ๋ค์ํ๊ฒ ํ์
์์: 'Resp-body1'์ ๋ฐ์ดํฐ ์ ์ถ ํ์ง ํํฐ์ ์ํด ํ์ง๋ ๋ก๊ทธ ์๋ณธ
์ฐํด๋ฆญ ์ต์ : ๋ก๊ทธ๋ณ ์ปฌ๋ผ์์ ์ฐํด๋ฆญํ๋ฉด ์ ์ฒด ๋ก๊ทธ ํ์ด์ง๋ก ์ด๋ ๊ฐ๋ฅ
ํฐ์ผ ๋ฐํ, IP์ฃผ์ ํ๊ทธ ์ ๋ ฅ, ์์คํ ๊ด๋ฆฌ ํ์ด์ง๋ก ์ด๋
์ ์ฒด๋ก๊ทธ(=)
'๋์ผ' ์๊ฐ๋์ ์ ์ฒด๋ก๊ทธ
์ ์ฒด๋ก๊ทธ(ยฑ1s)
'1์ด' ์ ํ ์๊ฐ๋์ ์ ์ฒด๋ก๊ทธ
์ ์ฒด๋ก๊ทธ(ยฑ2s)
'2์ด' ์ ํ ์๊ฐ๋์ ์ ์ฒด๋ก๊ทธ
์ ์ฒด๋ก๊ทธ(ยฑ3s)
'3์ด' ์ ํ ์๊ฐ๋์ ์ ์ฒด๋ก๊ทธ
์ ์ฒด๋ก๊ทธ(ยฑ5s)
'5์ด' ์ ํ ์๊ฐ๋์ ์ ์ฒด๋ก๊ทธ
์ ์ฒด๋ก๊ทธ(ยฑ10s)
'10์ด' ์ ํ ์๊ฐ๋์ ์ ์ฒด๋ก๊ทธ
์ ์ฒด๋ก๊ทธ(ยฑ30s)
'30์ด' ์ ํ ์๊ฐ๋์ ์ ์ฒด๋ก๊ทธ
์ ์ฒด๋ก๊ทธ(ยฑ60s)
'60์ด' ์ ํ ์๊ฐ๋์ ์ ์ฒด๋ก๊ทธ
์ ์ฒด๋ก๊ทธ(=) ๊ณต๊ฒฉ์
'๋์ผ' ๊ณต๊ฒฉ์(IP)์ ์ ์ฒด๋ก๊ทธ
์์ฑ์ผ ๊ธฐ์ค: ์ต์ ์, ๊ณผ๊ฑฐ์, ์์ฒญ ํฌ๊ธฐ, ๋์ผ ๋ก๊ทธ ๋ฑ ๋ค์ํ ๊ธฐ์ค์ผ๋ก ์ ๋ ฌ ์ ๊ณต
๊ธฐ๋ณธ๊ฐ์ ์ต์ ์
20 ~ 100 ๋ผ์ธ๊น์ง ์ ํ ๊ฐ๋ฅ
๊ธฐ๋ณธ๊ฐ์ ๋น์ผ ๋ฐ์ ๋ก๊ทธ, ์๊ฐ ์ค์ ์ ํตํด ํน์ ๋ก๊ทธ ๊ฒ์ ๊ฐ๋ฅ
๊ณผ๊ฑฐ ๋ก๊ทธ ๊ฒ์: ์ ๋ , 1์ฃผ, 1๊ฐ์ ๋ฑ ๊ธฐ๊ฐ ์ ํ ๊ฐ๋ฅ
๊ทธ๋ฃน๋ณ ๋ก๊ทธ ์ ๋ ฌ ์ ๊ณต
์ด์์ฒด์ ๋ณ ๋ก๊ทธ ์ ๋ ฌ ์ ๊ณต
ํน์ ํธ์คํธ๋ฅผ ์ ํํ์ฌ ๋ก๊ทธ ์ ๋ ฌ
ํน์ ํธ์คํธ(๋๋ฉ์ธ)์ ์ ํํ์ฌ ๋ก๊ทธ ์ ๋ ฌ
ํ์ง ๋ถ๋ฅ๋ณ ์ ํ ์ ๋ ฌ ์ ๊ณต
OWASP TOP 10 ์ฝ๋(A1~A10) ๋๋ ์ฌ์ฉ์ ์ ์ ์ฝ๋(U1)๋ณ ์ ๋ ฌ ์ ๊ณต
ํ์ง ํํฐ์ ์ํ๋ ๊ธฐ์ค์ผ๋ก ์ ๋ ฌ
์น ์๋ฒ ์๋ต ๊ฐ์ ๋ฐ๋ฅธ ์ ๋ ฌ (์: 200, 404, 500)
์์ฒญ ํค๋ ์ ๋ณด์ ๋ฐ๋ฅธ ์ ๋ ฌ (GET, POST ๋ฑ)
RFC ์ ์: GET, POST, CONNECT, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE
RFC ์ ์๋์ง ์์ ๊ฐ์ด ์์ ๊ฒฝ์ฐ: noneRFC๋ก ํ์
OWASP ๋ฐ ์ฌ์ฉ์ ์ ์ ํํฐ ๊ธฐ์ค ์ ๋ ฌ
๋ฐ์ดํฐ ์ ์ถ ์ฌ๋ถ์ ๋ฐ๋ผ ๋ก๊ทธ ์ ๋ ฌ
์ฐ๋ ์ง์ ์์คํ : , ,
์ปดํ๋ผ์ด์ธ์ค ํญ: > ๋ฉ๋ด์์ ์ ํํ ์ปดํ๋ผ์ด์ธ์ค ์ ๋ณด๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ํ์ง๋ ์ ๋ณด ์ ๊ณต