웹 로그 분석
Common Log File Format(CLF)
Host |
Data and Time |
HTTP Request |
Status Code |
Bytes |
12.123.234.34 |
[09/jun/2020:23:59:05] |
"GET /board/test.jpg HTTP/1.1" |
200 |
1234 |
▶ Date and Time은 클라어인트가 서버로 요청한 시간
▶ 보통 HTTP Requset는 메세지를 제외한 Requset Line만 기록
▶ bytes는 서버에서 클라이어느로 전송한데이터크기를 의미 / 단, 헤더는 제외
주의 깊게 볼 내용
(1) Request Method가 GET이나 POST가 아닌 경우
(2) Status Code가 404(Not Found)나 500(Server Internal Error)의 경우
(3) 페이지별 전송바이트 통계를 확인하여 최대수치가 평균수치보다 과다하게 높을경우
(4) 로그파일 조작 가능성
▶ 로그파일의 Last Written Time과 마지막 로그 엔트리에 기록된 시간정보를 비교
▶ 로그파일 삭제 및 공백 존재
(5) Bruteforcing / Dictionary Attack 가능성
▶ Login 페이지와 관련된 통계정보 확인
▶ 일정시간에 과도하게 로그인 페이지로 접속이 이루어지는지 확인
(6) 새로운파일 생성 또는 기존파일의 변경 확인
▶ find를 이용하여 조사, tripwire로 무결성검사
Cross Site Scripting 탐지
정규표현식 : ((\%3C)|<)((\%2F)|\/)*[A-Za-z0-9\%]+((\%3E)|>)
정규표현식 |
설명(태그사용 탐지) |
(\%3C)|<) |
< 또는 %3C |
((\%2F)|\/)* |
/ 또는 %2F 가 0회이상 |
[A-Za-z0-9\%]+ |
문자 및 숫자 또는 %가 하나 이상 반복 |
((\%3E)|>) |
> 또는 %3E |
'Security Log' 카테고리의 다른 글
Windows 이벤트 로그 분석 (0) | 2020.06.10 |
---|---|
정규표현식 (0) | 2020.06.09 |
Windows event viewer log 분석 (1) | 2019.10.06 |
보안로그분석 (0) | 2019.09.29 |
보안로그분석2 (0) | 2019.09.28 |
댓글