반응형
출처: 해킹사고의 재구성 - 최상용
1. 중요 메소드를 중점적으로 추출
웹 접근 로그의 99%는 GET 방식의 요청에 대한 기록이며, POST 방식의 요청에 대한 기록은 상대적으로 소량이다. 하지만 웹 해킹 시도는 POST요청 속에 해커의 요청이 숨겨져 오는 경우가 많으므로 웹 접근 로그 중 메소드 필드에 'POST'가 포함되어 있거나 'PUT'이 포함되어 있는 경우의 로그만을 걸러내서 일차적으로 살펴봐야 한다.
2. 중요 스크립트를 중점적으로 추출
웹 접근 로그는 jsp,asp,php와 같은 스크립트 이외에도 이미지 파일, js 파일 , css 파일 등이 홈페이지에 접속할 때마다 기록되므로 스크립트 파일 외의 파일에 대한 요청 기록이 많은 부분을 차지한다. 그러므로 스크립트를 호출하고, GET 요청에 대한 파라미터가 존재하는 경우를 중점적으로 추출해야 한다.
반응형
'프로젝트 관련 조사 > 로그 관련' 카테고리의 다른 글
| Rsyslog.conf 템플릿 (0) | 2015.10.23 |
|---|---|
| [syslog] Ubuntu rsyslog 및 시스로그 포맷 (0) | 2015.10.23 |
| 웹 로그로 침해사고 흔적 찾기 (2) | 2015.10.21 |
| 윈도우 이벤트 로그 (0) | 2015.10.21 |
| How To Install Elasticsearch, Logstash, and Kibana 4 on Ubuntu 14.04 (0) | 2015.10.19 |