# 웹

{% hint style="info" %}
**웹 로그 분석을 통해 해킹 공격 탐지 제공**

* 웹 탐지 로그 분석 시 요청 및 응답 본문 정보 포함 (세계 특허 기술)
* OWASP TOP 10 및 사용자 정의 필터 방식 제공
* 주요 로그 정보를 시각화하여 제공
* 알려지지 않은 공격에도 대응 가능
  {% endhint %}

### 1. 로그 상세 내용

***

**OWASP 탭**: OWASP TOP 10을 기반으로 로그 분석. 코드, 분류, 공격 코드, 필터명 제공

* **코드**: OWASP TOP 10 (A1\~A10) 및 사용자 정의(U1)로 구성
  * 코드 상세 정보는 [OWASP 웹 사이트 ](https://owasp.org/)외부 링크 제공
* **유출정보**: 웹 서버의 응답 본문에서 탐지된 데이터 제공 (기밀정보, 사용자 정보 등)
* **상태값**: 웹 서버의 응답 상태 예) 200(정상), 404(페이지 없음), 500(서버 에러)
  * 상태값 상세 정보는 [모질라 웹 사이트](https://developer.mozilla.org/ko/docs/Web/HTTP/Status) 외부 링크 제공
* **응답**: 웹 서버 응답 크기(Byte) 제공, 크기가 클 경우 데이터 유출 가능성 있음
* **메소드**: RFC 표준 기반 9가지로 분류 (GET, POST, PUT 등), 비표준 값은 noneRFC로 표시
  * GET, POST, CONNECT, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE
* **요청 본문**: 요청자의 Request-body (Post-body) 정보 제공
* 웹 서버의 메모리 또는 패킷에서 수집 및 분석 결과 제공 (세계 특허 기술)

<figure><img src="/files/Y7F5wcuxVG3cLDX3SbJY" alt=""><figcaption><p>[OWASP 탭 화면]</p></figcaption></figure>

***

**OWASP 탭 하단 메뉴 안내**

* **재전송 공격 버튼**: 조건 충족 시에만 노출, 프로토콜 및 포트 변경 기능 제공
  * 기본 https : 443, http : 80, 사용자 정의 포트 설정 가능
* https를 사용하지 않는 경우, http:80 선택 및 8080 등의 사용자 임의 포트 변경 사용 가능
* 설정된 값은 사용자 브라우저에 저장됨

<div data-full-width="false"><figure><img src="/files/zHggpdp25XbqrHFd9icQ" alt=""><figcaption><p>[OWASP 탭 화면 하단의 특수 기능]</p></figcaption></figure></div>

* **curl:// 버튼**: 공격 코드 복사 기능 제공, 명령창에서 실행 가능
* curl 복사 기능 예시

```bash
curl -v --data-binary @log-172.16.1.0-2024-01-03-15_37_09.978.txt
 -X "POST"
 --user-agent "Apache-HttpClient/4.5.12 (Java/1.8.0_391)"
 --header "Content-Type: application/x-www-form-urlencoded; charset=UTF-8"
 "http://172.16.0.2:80/wordpress/wp-login.php"
```

* '@log-172.16.1.0-2024-01-03-15\_37\_09.978.txt' 별도 파일 다운로드 제공
* **관리 > 연동 > 티켓:** 연동한 시스템으로 로그 전송
* **연동 지원 시스템:** [Jira](https://www.atlassian.com/ko/software/jira?\&aceid=\&adposition=\&adgroup=143040573765\&campaign=19324540316\&creative=642069041217\&device=c\&keyword=jira\&matchtype=e\&network=g\&placement=\&ds_kids=p74608960066\&ds_e=GOOGLE\&ds_eid=700000001558501\&ds_e1=GOOGLE\&gad_source=1\&gclid=Cj0KCQiAy9msBhD0ARIsANbk0A_ytBZ4Q0FLi2bEwrYBxAudXVSI3qxEkT88MRH4Nwy2Fdys8nYanz4aAvAYEALw_wcB\&gclsrc=aw.ds), [MantisBT](https://www.mantisbt.org/), [Redmine](https://www.redmine.org/)
* **복사:** 로그 상세 정보 복사 기능

### 2. 데이터 유출 정보 확인

* **유출정보 탭**: 응답 본문을 분석하여 데이터 유출 여부 및 상세 정보 제공

<figure><img src="https://qubitsec.github.io/docs/images/Manual/common/filter/web/6.png" alt="" width="563"><figcaption><p>[유출정보 탭]</p></figcaption></figure>

<figure><img src="https://qubitsec.github.io/docs/images/Manual/common/filter/web/7.png" alt="" width="563"><figcaption></figcaption></figure>

* **웹 필터 탐지**: 데이터 유출 발생 시 유출 항목 표시

<figure><img src="https://qubitsec.github.io/docs/images/Manual/common/filter/web/5.png" alt="" width="563"><figcaption></figcaption></figure>

### 3. 로그상세 원본로그 내용

* **로그 상세 탭**: 웹 로그 및 패킷에서 수집된 원본 로그를 json 형태로 제공
  * 키 값은 시스템 환경에 따라 다양하게 표시
  * 예시: 'Resp-body1'은 데이터 유출 탐지 필터에 의해 탐지된 로그 원본

<figure><img src="https://qubitsec.github.io/docs/images/Manual/common/filter/web/3.png" alt="" width="563"><figcaption><p>[로그상세 탭]</p></figcaption></figure>

### 4. 컴플라이언스

* **컴플라이언스 탭:** [관리](https://docs.plura.io/ko/function/common/management) > [연동](https://docs.plura.io/ko/function/common/management/linking) 메뉴에서 선택한 컴플라이언스 정보를 기반으로 탐지된 정보 제공

<figure><img src="https://qubitsec.github.io/docs/images/Manual/common/filter/web/4.png" alt="" width="563"><figcaption><p>[컴플라이언스 탭]</p></figcaption></figure>

***

### 5. 전체 로그 이동 및 우클릭 옵션&#x20;

* **우클릭 옵션**: 로그별 컬럼에서 우클릭하면 전체 로그 페이지로 이동 가능
* 티켓 발행, IP주소 태그 입력, 시스템 관리 페이지로 이동

<table><thead><tr><th width="202">선택 조건</th><th>의미</th></tr></thead><tbody><tr><td>전체로그(=) </td><td> '동일' 시간대의 전체로그</td></tr><tr><td>전체로그(±1s)</td><td>'1초' 전후 시간대의 전체로그</td></tr><tr><td>전체로그(±2s)</td><td>'2초' 전후 시간대의 전체로그</td></tr><tr><td>전체로그(±3s) </td><td>'3초' 전후 시간대의 전체로그</td></tr><tr><td>전체로그(±5s) </td><td>'5초' 전후 시간대의 전체로그</td></tr><tr><td>전체로그(±10s) </td><td>'10초' 전후 시간대의 전체로그</td></tr><tr><td>전체로그(±30s) </td><td>'30초' 전후 시간대의 전체로그</td></tr><tr><td>전체로그(±60s) </td><td>'60초' 전후 시간대의 전체로그</td></tr><tr><td>전체로그(=) 공격자</td><td> '동일' 공격자(IP)의 전체로그</td></tr></tbody></table>

***

### 6. 정렬

* **생성일 기준**: 최신순, 과거순, 요청 크기, 동일 로그 등 다양한 기준으로 정렬 제공
  * 기본값은 최신순

<figure><img src="/files/rgCNAGJPQnOgzeHlMbOE" alt="" width="563"><figcaption></figcaption></figure>

### 7. 페이지당 로그 라인 수 설정

* 20 \~ 100 라인까지 선택 가능<br>

  <figure><img src="/files/8miXVxkQA2DZfJ7RBZNc" alt="" width="563"><figcaption></figcaption></figure>

### 8. 날짜/시간 선택

* 기본값은 당일 발생 로그, 시간 설정을 통해 특정 로그 검색 가능
* 과거 로그 검색: 전날, 1주, 1개월 등 기간 선택 가능<br>

  <figure><img src="/files/IXEvst0FNrS9Pkr9NwMn" alt="" width="563"><figcaption></figcaption></figure>

### 9. 그룹 선택

* 그룹별 로그 정렬 제공<br>

  <figure><img src="/files/jOvVZm16k7RCAm9KgrbL" alt="" width="563"><figcaption></figcaption></figure>

### 10. 운영체제 선택

* 운영체제별 로그 정렬 제공

<figure><img src="/files/1Tx1TsMj3sNdwTmQ1sTJ" alt="" width="563"><figcaption></figcaption></figure>

### 11. 호스트 선택

* 특정 호스트를 선택하여 로그 정렬<br>

  <figure><img src="/files/HNCOKkj5Ag7T2Ja1YWOP" alt="" width="563"><figcaption></figcaption></figure>

### 12. 호스트(도메인) 선택

* 특정 호스트(도메인)을 선택하여 로그 정렬

<figure><img src="/files/ybHazvZhbrs8WAU8JiYU" alt="" width="563"><figcaption></figcaption></figure>

### 13. 분류 선택

* 탐지 분류별 선택 정렬 제공

<figure><img src="/files/1DsDd6unMlay4fWyTFu2" alt="" width="563"><figcaption></figcaption></figure>

### 14. 코드 선택

* **OWASP TOP 10 코드**(A1\~A10) 또는 사용자 정의 코드(U1)별 정렬 제공

<figure><img src="/files/ToyK1YhhpnZgbCkZO6AT" alt="" width="563"><figcaption></figcaption></figure>

### 15. 위험도 선택

* 탐지 필터의 위험도 기준으로 정렬

<figure><img src="/files/XOKHrl3JXechMwo4kvc2" alt="" width="563"><figcaption></figcaption></figure>

### 16. 상태값 선택

* **웹 서버 응답 값**에 따른 정렬 (예: 200, 404, 500)

<figure><img src="/files/zW0QYrMgLQakeAfVesvH" alt="" width="563"><figcaption></figcaption></figure>

### 17. 메소드 선택

* **요청 헤더 정보**에 따른 정렬 (GET, POST 등)
  * RFC 정의: GET, POST, CONNECT, DELETE, HEAD, OPTIONS, PATCH, PUT, TRACE
  * RFC 정의되지 않은 값이 있을 경우: noneRFC로 표시

<figure><img src="/files/IQwBTaa5vfLofuAhg5gV" alt="" width="563"><figcaption></figcaption></figure>

### 18. 유형 선택

* OWASP 및 사용자 정의 필터 기준 정렬

<figure><img src="/files/3Goc8D1d72Do7T90hTfZ" alt="" width="563"><figcaption></figcaption></figure>

### 19. 유출정보 선택

* 데이터 유출 여부에 따라 로그 정렬<br>

  <figure><img src="/files/Nd3XgucvhcCDKrihKr6H" alt="" width="563"><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.plura.io/ko/fn/comm/fdetection/web.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.