WebServer1005가 공격받았습니다.
get_user_info/ 주소에 대한 요청이 있었습니다.
해당 호스트의 로그를 확인해봅니다.
POST Parameters의 user_id 숫자가 계속 변경되고 있습니다. 유저 아이디를 바꿔가며 접근 권한을 획득하려 합니다.
user_id가 바뀔 때마다 HTTP Response Size가 달라지고 있습니다. 요청이 승인되었기에 유저마다 다른 정보를 로딩하면서 크기가 달라졌다고 보입니다. 즉, 공격자는 IDOR 공격을 성공했습니다.
공격 타입은 IDOR입니다.
앞서 살펴본 시도 외에 다른 징후는 찾아볼 수 없었으므로, Not Planned입니다.
IP를 살펴본 결과 외부 인터넷에서 사내 네트워크로 들어왔습니다.
Internet → Company Network
공격은 성공했습니다.
그러므로 Tier 2로 에스컬레이션합니다.