[NOOBHACK] DDS로 사이트 깽판 치는 방법

오늘은 DDS로 전에 있던 내가 만든 사이트에 깽판을 쳤던 커뮤니티를 보여 줬는데

대충 이렇게 생겼다

여기서 수상한 점은 게시물에 작성자 없다는 점인데 파이썬 코드로 requests모듈로 게시물을 작성했기 때문이다

 

그럼 깽판을 치는 과정을 살펴보자

 

기본 코드이다 requests모듈로 실행을 시킨것을 알 수 있는데 이것을 실행하면

 

subject의 키인 DDS라는 제목과 함께 게시물이 작성되었다 참고로 위 코드의 data변수 딕셔너리의 값을 어떻게 알아 냈냐면 내가 공유한 코드에서도 발견할 수 있었지만 추후 알게 될 블라인드 SQL 인젝션으로도 알 수 있다

 

아무튼 본론으로 돌아와서 이렇게 게시물을 자동으로 작성 할 수 있다면 알아서 DDS 공격으로 서버에 깽판짓을 벌일 수 있다는 것이다.

 

그냥 while 문으로 무한루프만 만들면 끝이다

 

 

보안 대책으로는 게시물을 작성할때 항상 세션을 확인해 누구인지 밝힌다면 DDS공격이 왔을때 그 계정을 차단 하면 그만이다

 

하지만 현실에서 따라하진 말자 보안이 워낙 잘 되어 있고 DDS공격이나 봇이 작업하는 것이 웹 사이트에 감지돼면 IP가 차단 당하기 때문에 함부로 따라하지 말자