Web Log & Packet Analysis

웹 로그를 분석하여 해킹 공격 탐지 제공

  • 웹 탐지 로그 분석 時 요청 및 응답 본문 정보 포함 (세계 특허 기술)

  • OWASP TOP 10 및 사용자 정의 필터 방식 제공

  • 로그 주요 정보를 시각화하여 제공

알려지지 않는 (Unknown) 공격에 대응합니다.

로그 분석 상세 내용 설명

1. 로그 상세 내용

  • OWASP 탭

  • OWASP TOP 10을 기반으로 로그를 분석하여 코드, 분류, 공격코드, 필터명 등으로 제공

  • 코드: OWASP TOP 10 분류로 A1 ~ A10까지 구성, 사용자 정의는 U1에서 시작함

  • 유출정보: 웹 서버의 응답 본문 (Response-body) 내용 中 필터에 의하여 탐지된 내용 제공

  • 상태값: 웹 서버의 응답 상태값 예) 정상 동작(200), 페이지 찾을 수 없음(404), 서버 에러(500)

  • 응답: 웹 서버 응답 크기(Byte), 응답 크기가 클 경우 데이터 유출 가능성 높음으로 분류

  • 메소드: RFC 표준 기반 9가지로 분류, RFC 표준이 아닌 값일 경우 noneRFC로 표시

  • 요청 본문: Request-body (Post-body) 요청자의 본문 정보

OWASP 탭 하단 메뉴 안내

  • '재전송공격' 버튼은 재전송 공격의 조건이 성립한 경우에만 노출되므로 항상 보이지 않을 수 있음

  • 재전송 공격 時 프로토콜 & 포트 변경 제공 (기본 설정 https : 443)

  • https를 사용하지 않는 경우, http : 80 선택 및 8080 등의 사용자 임의 포트 변경 사용 가능

  • 설정된 값은 사용자 브라우저에 저장됨

  • curl:// 버튼 선택 時, 공격 코드 복사 기능 제공, 명령창(command)에서 실행 가능함

  • curl 복사 기능 예시

curl -v --data-binary @log-172.16.1.0-2024-01-03-15_37_09.978.txt
 -X "POST"
 --user-agent "Apache-HttpClient/4.5.12 (Java/1.8.0_391)"
 --header "Content-Type: application/x-www-form-urlencoded; charset=UTF-8"
 "http://172.16.0.2:80/wordpress/wp-login.php"

  • '@log-172.16.1.0-2024-01-03-15_37_09.978.txt' 별도 파일 다운로드 제공함

  • 관리 > 연동 > 티켓 : 연동한 시스템으로 로그 전송

  • 연동 지원 시스템 : Jira, MantisBT, Redmine

  • 복사 : 로그 상세 정보 복사 기능

2. 데이터 유출 정보 확인

  • 유출정보 탭

  • 웹 서버의 응답본문을 분석하여 데이터 유출 상세 정보 제공

  • 응답 본문의 상세 정보 제공

3. 로그상세 원본로그 내용

  • 로그상세 탭

  • 웹 로그 및 패킷 상에서 수집된 원본 로그 수집 後 json 형태로 가공하여 제공

  • 키(Key) 값은 웹 시스템 환경에 따라 다양하게 표시됨

  • 예시에 나온 'Resp-body1'은 데이터 유출 탐지 필터에 의하여 탐지된 로그원본임

4. 컴플라이언스

  • 컴플라이언스 탭

  • 관리 > 연동 메뉴에서 선택한 컴플라이언스 정보를 기반으로 탐지된 정보 제공

5. 전체로그 이동 등 우클릭 마우스 옵션

  • 로그별 컬럼에서 우측 마우스 버튼을 클릭하면 다음의 전체로그 페이지로 편리하게 이동

선택 조건의미

전체로그(=)

'동일' 시간대의 전체로그

전체로그(±1s)

'1초' 전후 시간대의 전체로그

전체로그(±5s)

'5초' 전후 시간대의 전체로그

전체로그(±60s)

'60초' 전후 시간대의 전체로그

  • 티켓 발행

  • IP주소 : IP주소 태그 입력 기능

검색 하단 메뉴 설명

6. 정렬

  • 생성일 기준의 최신순, 과거순 또한 요청크기, 동일로그 등 다양한 기준으로 정렬 제공

  • 기본 정렬은 최신순으로 마지막 생성된 로그가 표시됨

7. 페이지 당 노출 로그 라인 수 설정

  • 한 페이지에서 보이는 로그의 라인수 설정, 기본 20 ~ 100라인까지 선택 제공

8. 날짜/시간 선택

  • 기본은 당일 발생 로그로, 시간 설정을 통하여 특정 로그 검색 제공

  • 과거 로그로 전날, 1주 또는 1개월 등 기간 선택 제공

9. 그룹 선택

  • 그룹별 로그 정렬 제공

10. 운영체제 선택

  • 운영체제별 로그 정렬 제공

11. 호스트 선택

  • 특정 호스트를 선택해서 해당 로그 정렬

12. 호스트(도메인) 선택

  • 특정 호스트(도메인)을 선택해서 해당 로그 정렬

13. 분류 선택

  • 탐지 분류별 선택 정렬 제공

14. 코드 선택

  • OWASP TOP10 에 따른 코드 분류별 정렬, A1 ~ A10 까지 제공, 사용자 정의는 U1에서 시작함

15. 위험도 선택

  • 탐지 필터 위험도에 따른 정렬

16. 상태값 선택

  • 웹 서버의 응답값에 따른 정렬, 예) 정상 동작(200), 페이지 찾을 수 없음(404), 서버 에러(500)

17. 메소드 선택

  • 요청 헤더 정보의 메소드기준으로 정렬

18. 유형 선택

  • 탐지 발생 시 기준 값 표시

  • OWASP & 사용자가 정의한 필터

19. 유출정보 선택

  • 유출정보 탐지 유무(有無)별 정렬

Previous호스트Next응용프로그램 > 원본

Last updated