W3C포맷: MS 계열의 IIS 기본 설정에서 사용되고 있다.
NCSA포맷(CLF): NCSA계열 웹서버에서 사용하느 파일형식
logparser를 이용하여
로그 분석을 시도할 수 있다.
W3C 분석을 위한 logparser 사용필드
date, time, c-ip(접속자 IP), cs-method(HTTP 메소드), cs-uri-stem(요청 페이지), cs-uri-query(파라미터), sc-status
* -i 로 IISW3C
NCSA분석을 위한 logparser 사용필드
host, username, date:time, request, statuscode, bytes, Referer Log(경유지 정보), Agent Log(웹 사이트에 접속한 사용자의 웹 브라우저 정보), Error Log
* -i 로 NCSA
응답코드가 200번이면 어떤 공격인지 알 수는 없으나 공격이 성공한 코드로 인식될 수 있다.
홈페이지 변조에 악용되는 PUT 메소드는 201번, SQL Injection은 취약점을 검색하는 과정 중에 발생하는 500번, SQL Injection 공격성공은 200번, 유닉스 명령어 삽입(;free)성공도 200번이 발생될 수 있다.
유닉스 시스템에서 생성되는 NCSA 로그는 grep, find 등의 명령어를 이용할 수 있다.
'웹 해킹 > 웹 해킹 개념' 카테고리의 다른 글
| sql limit (2) | 2018.03.22 |
|---|---|
| 프락시 툴을 이용한 HTTP 분석 (0) | 2018.03.19 |
| Union SQL Injection (0) | 2018.03.05 |
| 웹쉘 Web Shell, PHP File Upload 취약점 (0) | 2018.02.12 |
| HEADER INJECTION (0) | 2018.02.12 |