1. 개념
- 공격자가 원격에서 웹 서버에 명령을 수행할 수 있도록 악의적으로 제작된 웹 스크립트(asp, php, jsp, cji)파일
- 시스템 제어 및 장악을 통한 시스템 가용성 저해나 데이터 탈취 등을 목적으로 하고 있기 때문에 단발적인 공격으로 그치지 않고 다수 접속하여 시스템을 제어하는 데 사용
2. 특징
- 웹 취약점을 통해 피해 시스템에 접근한 공격자는 방화벽에서 접근을 허용하는 HTTP (TCP 80)서비스를 통해 피해 시스템을 제어 하므로 웹 쉘을 차단하기가 어려움
- 일반적인 서버 관리자들은 해킹 여부를 확인하기 힘들고, 피해를 인지하더라도 관리자들이 주로 사용하는 백신 프로그램에서 웹 쉘 탐지가 안되는 경우가 빈번히 발생
- Telnet으로 서버에 들어간 것과 같이 스크립트를 만들고 실행시키는 것도 가능
3. 공격원리
- 클라이언트가 웹 서버에 데이터 요청
- 웹 서버가 WAS에 데이터 가공 요청
- WAS가 필요한 정보를 DB에 요청 / DB가 WAS에 DB정보 전달
- DB 정보를 WAS가 가공하여 WEB 서버에 전달
- 전달받은 정보를 클라이언트에게 전달
- 클라이언트가 웹 서버에 악성 JSP 파일 업로드 성공
- 웹 서버가 WAS에 데이터 가공 요청
- WAS 웹 서버의 "cmd=ls"란 명령어를 수행하라고 번역하여 전달
- 웹 서버에서 "ls"란 명령어를 수행하여 현재 경로에 있는 파일리스트를 나열
- 전달받은 파일리스트 정보를 클라이언트에게 전달
