알아야 할 10가지 해킹 방법

인터넷 기술의 발달은 많은 성장과 사업 기회를 가져왔으며, 그에 따라 새로운 해킹 방법도 생겨났습니다.

개인 소셜 미디어 이용자부터 소규모 사업체와 대기업까지, 현대 해커의 희생자 범위는 매우 광범위합니다.

따라서 월드 와이드 웹에 도사리고 있는 잠재적 위험에 대한 아이디어를 얻고, 그러한 보안 위협을 완화하기 위한 올바른 정보를 갖는 것이 가장 좋습니다. 이 게시물은 약간의 빛을 비춥니다.

차례 숨기기

최고의 해킹 방법

결론

최고의 해킹 방법

가장 흔한 해킹 방법은 다음과 같습니다.

1. 사회 공학

사회 공학은 잠재적 피해자를 조종하여 중요한 정보를 누설하거나 공격자에게 필요한 접근 권한을 부여하는 특정 조치를 취하는 프로세스입니다. 피해자에게 전화를 걸어 민감한 정보를 요청하는 등 사회 공학에 접근하는 방법에는 여러 가지가 있습니다. 이 방법을 바이 싱 그리고 종종 진짜 은행 직원이 전화 상대방이라고 믿는 의심치 않는 피해자에게서 은행 정보를 수집하는 데 사용됩니다.

또 다른 대중적인 방법은 피싱, 그리고 전화 방식과 마찬가지로, 여기에는 사칭이 포함됩니다. 여기서는 원래 은행 웹사이트와 100% 똑같은 가짜 은행 웹사이트가 될 수 있습니다. 피해자는 가짜 사이트로 연결되는 링크가 있는 이메일이나 문자를 받고 보안 목적으로 자신의 세부 정보를 긴급히 업데이트해 달라고 요청합니다. 그러나 가짜 사이트에 입력된 모든 정보는 공격자가 복사하여 피해자의 계좌를 비우는 데 사용됩니다.

해커가 피해자와 친구가 되어 점차적으로 필요한 정보에 접근하거나, 정부 직원, 사장 또는 보안 요원 등 권위 있는 인물을 사칭하여 피해자를 위협하여 정보를 누설하게 하는 방법도 있습니다.

소셜 엔지니어링의 희생자가 되지 않기 위한 방법으로는 낯선 사람을 믿지 않고 항상 "올바른 웹사이트에 접속했는지 확인하는 것"이 있습니다.https://” 그리고 무슨 일이 있어도 비밀번호나 PIN 코드를 절대로 다른 사람에게 알려주지 마세요.

2. 도청

또 다른 위험한 해킹 방법은 도청입니다. 도청은 매우 다양한 방법이 있고 해커가 얻을 수 있는 정보의 양에 제한이 없기 때문에 위험합니다.

예시 방법으로는 네트워크 분석기 소프트웨어(예: )를 사용하여 네트워크 패킷을 스니핑하여 정보를 추출하는 것이 있습니다. 와이어 샤크또 다른 방법은 피해자의 컴퓨터나 스마트폰에 작은 앱을 설치하여 모든 키보드 입력을 기록하거나 모든 텍스트 통신을 캡처하는 것입니다.

다른 도청 방법으로는 중간자 공격이 있는데, 해커가 두 당사자에게 직접 통신하고 있다고 믿는 동안 정보를 전달하도록 합니다. 예를 들어, GSM 네트워크는 자동으로 가장 강한 신호에 연결되므로 특정 네트워크의 GSM 타워를 스푸핑하면 해당 지역의 모든 모바일 폰이 자동으로 해커에 연결되고 그의 시스템을 통해 정보를 전달합니다.

3. 세션 및 쿠키 하이재킹

브라우저와 앱은 다음을 사용하여 서버와 통신합니다. 세션. 서버와 세션을 시작하려면 사용자는 먼저 로그인/비밀번호 조합과 2단계 인증을 사용하여 자신을 식별해야 합니다. 사용자의 신원이 확인되면 서버는 사용자의 브라우저와 세션을 시작하는데, 이 세션에서는 사용자가 로그오프할 때까지 추가 확인이 필요하지 않습니다.

여기서 하나의 작은 문제는 서버가 다음을 저장한다는 것입니다. 쿠키 인증된 사용자의 컴퓨터에서 또는 URL에 세션 ID를 추가하고 다음과 같이 말합니다. 이 사용자는 잘 작동하고 있습니다, 요점은 알겠죠. 하지만 문제는 해커가 쿠키나 세션 ID를 훔칠 수 있다면 피해자가 인증을 거쳐야 들어갈 수 있는 제한된 환경에 접근할 수 있다는 것입니다. 그러면 게시물을 작성하거나, 돈을 이체하거나, 원하는 대로 할 수 있습니다.

이를 달성하는 방법은 여러 가지가 있습니다.

XSS 또는 크로스 사이트 스크립팅 – 여기에는 피해자를 속여 합법적인 사이트의 링크를 클릭하게 하는 것이 포함되지만, 여기에는 합법적 사이트의 쿠키를 훔쳐 해커의 사이트로 보내는 JavaScript 코드가 포함됩니다.
세션 스니핑 – 해커는 Wireshark와 같은 네트워크 스니퍼를 사용하여 세션 및 쿠키 정보를 가로챌 수 있습니다.
세션 고정 – 공격자는 세션 ID가 포함된 링크를 피해자에게 보냅니다. 피해자가 로그인하고 시스템이 새 세션 ID를 생성하지 못하면 해커는 같은 세션 ID를 사용하여 로그인할 수도 있습니다. 여기서 해결책은 시스템이 로그인할 때마다 항상 새 세션 ID를 생성하도록 하는 것입니다.
세션 기부 – 해커가 합법적인 사이트에 로그인한 다음 세션 데이터가 포함된 링크를 피해자에게 보내 정보를 업데이트하도록 요청합니다. 피해자는 자신이 로그인되어 있음을 알게 되고, 자신의 계정이 아니라는 것을 알아차리지 못하면 민감한 정보를 입력할 수 있으며, 해커는 나중에 이를 훔칠 수 있습니다. 한 가지 해결책은 작업이 끝나면 항상 로그아웃하는 것입니다.

4. XSS 및 CSRF

위에서 이미 언급했듯이 XSS는 Cross-Site Scripting을 의미하고 CSRF는 Cross-Site Request Forgery를 의미합니다. 여기서 XSS는 일반적인 쿠키 도용을 넘어 피해자가 신뢰하는 페이지에서 스크립트를 실행하고 다른 덜 신뢰할 수 있는 웹사이트에 연결하는 것에 관한 것이라는 점에 유의해야 합니다.

피해자는 XSS 공격에 걸리기 위해 로그인하거나, 인증을 받거나, 어떤 조치도 취할 필요가 없습니다. 이는 일반적으로 자동입니다. 그러나 CSRF의 경우 피해자는 특정 웹사이트에 로그인하고 버튼을 클릭하는 것과 같은 추가 조치를 취해야 합니다.

예를 들어 피해자 밥이 은행 웹사이트에 로그인한 후 무언가가 그를 산만하게 만들어서 다음과 같은 웹사이트에 접속하게 됩니다. 마카오로의 무료 휴가, 그가 해야 할 일은 버튼을 클릭하는 것뿐입니다. 하지만 그가 버튼을 클릭하면 웹사이트가 그의 은행에 송금 요청을 제출하고, 그가 은행과 활성 세션을 가지고 있기 때문에 통과될 수도 있습니다.

공격자의 웹사이트에 필요한 것은 은행을 대상으로 하는 다음과 같은 올바른 필드가 포함된 양식을 만드는 것입니다.

5. 핫스팟 허니팟

무료 WiFi를 사용해 웹에 접속해 본 적이 있나요? VPN(가상 사설망)을 사용해 자신을 보호했으면 좋겠어요. 그렇지 않았다면 허니팟 피해자가 되었을 수도 있었을 거예요.

이 계획은 다음과 같습니다. 해커가 패킷 스니퍼를 사용하여 무료 WiFi 핫스팟을 설치하여 무료로 웹 서핑하는 사람들의 비밀번호와 기타 귀중품을 수집합니다. 일부는 커피숍, 공항, 레스토랑에서 볼 수 있는 것과 같은 가짜 회사 핫스팟을 설치하기도 합니다.

이런 해킹을 피하려면 무료 핫스팟을 이용하지 말고, 공공 WiFi를 사용해야 하는 경우 VPN을 이용하세요.

6. 무자비한 힘

무차별 대입 공격은 가능한 모든 사용자 이름과 비밀번호 조합을 시도하여 피해자의 계정에 로그인하려는 시도입니다. 또한 가능한 한 많은 키를 시도하여 알고리즘을 크래킹하는 것을 의미할 수도 있습니다.

칼리 리눅스인기 있는 해커 운영 체제에는 다음과 같은 무차별 대입 공격 도구가 함께 제공됩니다. 존 더 리퍼, 엔크랙, 및 히드라. 사전 공격에 도움이 되는 단어 목록도 있습니다. 여기에는 사전에서 가장 인기 있는 비밀번호와 단어 목록이 포함되어 있습니다. 원숭이, 12345, mysecretpassword, 00000, 등등.

무차별 대입 공격을 피하기 위한 방법으로는 로그인 페이지에 캡차를 추가하고, 로그인 시도 횟수를 제한하고, 안전한 비밀번호(8자 이상, 기호, 숫자, 대문자, 소문자를 조합) 사용을 강제하는 것이 있습니다.

7. DoS 및 DDoS

DoS는 다음을 의미합니다. 서비스 거부 공격은 DDoS를 의미합니다. 분산 서비스 거부 공격. 여기서 목표는 서버와 같은 컴퓨터 시스템을 너무 많은 요청으로 압도하여 추가 요청을 충족할 수 없게 만드는 것입니다. 즉, 오프라인이 됩니다.

DoS는 단일 머신에서 발생하며 발견하고 차단하기 쉽습니다. 반면 DDoS는 여러 컴퓨터에서 발생하며 이는 전 세계에 퍼져 있는 봇넷일 수 있으며, 종종 맬웨어에 감염된 컴퓨터에서 발생합니다.

이 목록의 다른 대부분 방법과 달리 DDoS 공격은 피해자의 컴퓨터에서 악성 코드를 훔치거나 실행하는 것을 목표로 하지 않는다는 점에 유의해야 합니다. 오히려 이러한 공격은 기업 서버를 포위하는 데 사용되며, 이러한 기업은 몸값을 지불할 때까지 서비스를 계속할 수 없기 때문입니다.

DDoS 공격을 피하는 가장 간단한 방법은 제공되는 패키지에 DDoS 보호 기능이 포함된 웹 호스트를 사용하는 것입니다.

8. 타겟형 및 비타겟형 웹사이트 공격

타겟형 공격은 피해자의 웹사이트를 특별히 겨냥한 공격인 반면, 비타겟형 공격은 공격자가 일반적인 소프트웨어의 약점을 악용하여 웹사이트에 발생하는 공격입니다.

예를 들어 WordPress 웹사이트는 비대상 공격에 취약하며, 특히 오래되고 업데이트되지 않은 버전에서 실행되는 웹사이트가 그렇습니다. 공격자는 특정 플랫폼, 버전 또는 개발 프레임워크에서 작동하는 익스플로잇을 발견한 다음, 해당 플랫폼을 사용하는 웹사이트 주소 목록을 통해 익스플로잇을 실행하여 어떤 것이 깨지는지 확인합니다.

타깃 공격의 경우 해커는 피해자의 웹사이트를 알아가는 데 조금 더 많은 시간을 할애하게 되며, 이는 며칠에서 몇 달까지 다양할 수 있습니다. 타깃 공격은 보통 더 위험하고, 특히 대기업의 경우 치명적일 수 있습니다.

9. SQL 삽입

인셀덤 공식 판매점인 LulzSec 2011년에 소니 플레이스테이션 네트워크의 서버에 침입하여 1만 개의 비밀번호를 훔쳤을 때, 그들은 이 작업을 단순한 SQL 주입 해킹으로 설명했습니다.

SQL 주입은 프로그래머가 잠재적으로 해로운 입력을 제거하지 않기를 바라는 마음으로 웹사이트의 요청 주소에 SQL 언어 지시문을 추가하는 행위입니다. 그리고 SQLi가 작동하면 해커는 종종 Sony에서 일어났던 것처럼 데이터베이스에 대한 관리자 액세스 권한을 얻습니다.

SQL 주입을 방지하려면 인기 있는 플랫폼과 프레임워크의 최신 버전을 사용하면 됩니다. 그러나 스스로 빌드하는 경우 적절한 입력 검증, 준비된 명령문 사용, 저장 프로시저 및 취약성 스캐닝에 집중해야 합니다.

10. 플러그인 취약점

WordPress 등 인기 플랫폼의 핵심적인 보안 문제는 최신 소프트웨어 버전으로 업그레이드하면 대부분 피할 수 있지만, 플러그인은 주요 해킹 위협을 발생시킬 수 있습니다.

WordPress 생태계에는 50,000개가 넘는 플러그인이 있으며, 각 플러그인은 잠재적인 보안 위험을 초래합니다. 현재 WordPress 해킹의 대부분은 이러한 플러그인의 취약성에서 비롯됩니다.

여기서 100% 안전할 수는 없지만, 높은 평가를 받은 최고 품질의 플러그인만 선택하면 플러그인 취약성에 대한 웹사이트의 방어력을 개선할 수 있습니다. 그런 다음 정기적으로 핵심 시스템과 플러그인을 업데이트하고, 오래된 테마나 모든 종류의 확장 프로그램을 사용하지 마세요.