저는 여러 서버환경( IIS6.0, IIS7.5 ,CentOS)에서 HTTP(80포트)의 취약점을 이용한 메소드 공격을 하였습니다. 추가적인 http Method를 사용하기 위해서 웹 데브를 추가 설치하였습니다. HTTP method공격이란 말 그대로 HTTP Header의 있는 메소드 부분을 이용하여 공격자가 원하는 행동을 하는 것을 말합니다. 예를 들면 PUT 메소드로 웹 쉘인 파일을 업로드될 경우 공격자는 이 웹쉘을 통해 파일변조, 파일삭제 등과 같은 자신이 원하는 조작을 하게 됩니다.
제가 가정한 상황은 피해자는 자신의 웹 서버를 가지고 있고 이 서버를 통해 자신의 개인 홈페이지를 운영하고 있는 상황이었습니다. 저는 가상 공격PC(KailLinux)환경에서 텔넷을 통해 피해자의 웹 서버의 환경을 확인하였습니다. 그 후, 허용 메소드를 이용하여 피해자의 개인홈페이지의 사진을 변조, 삭제 등과 같은 시험을 하였습니다.
Http method Attack은 관리자의 관리소홀로 생기는 취약점입니다. 따라서, 이 공격을 대응하기 위해서는 서버관리자의 주기적인 서버 변경사항 관리가 필요합니다
.
프로젝트를 진행하며 느낀 점을 말씀 드리겠습니다. 피해자의 웹 서버 환경을 구축하는 일에 상당한 시간이 소요되었습니다. IIS로 웹 서버를 구축할 때가 한 예입니다. 처음에 IIS7.5로 시험을 하였었습니다. 하지만, 계속된 시도에도 불구하고 메소드 어택이 동작하지 않았습니다.
그런데, 나중에 알고 보니 비스타(IIS7.0) 이후 버전에는 익명 접근에 제한이 있다는 것을 한참 후에 알게 되었습니다. 그 후에 window2003(IIS6.0)을 사용하게 되었고 6.x버전에서는 관리자의 관리소홀로 인한 메소드 어택이 가능하다는 것을 알게 되었습니다.