최근 국제적인 금융 사이트를 초토화시키고 있는 루마니아의 해커가 있습니다. 이름하여 Unu, 이 해커는 거의 일주일에 한건씩 새로운 해킹 사실을 블로그에 공개하고 있습니다. 특히, SQL Injection 취약점을 이용하여 공격합니다.

공개되는 사이트들도 대부분 인터넷 상거래, 은행, 결제 시스템 등 민감한 부분들입니다. 오늘 소개할 해킹 사이트는 스코틀랜드 그룹의 로얄 은행이 운영하는 RBS WorldPay 결제 사이트입니다.

RBS WorldPay 사이트는 인터넷 상의 물건을 사고팔때 사용하는 신용카드, 현금 입출금 등을 이용하여 하루에 수백만 건의 금융 거래를 지원하는 사이트입니다.

하여튼, RBS WorldPay 사이트의 특정 페이지에서 매개변수의 확인 과정없이 바로 진행되는 약점을 이용하여 데이터베이스의 정보를 볼 수 있습니다.

<그림 #1, #2. 운영 중인 데이터베이스의목록이 유출된 화면>

<그림 #3. 관리자 webphp의 ID 및 해시된 비밀번호가 노출된 화면>

<그림 #4. 관리자 admin의 비밀번호가 평문으로 저장되어 노출된 화면>

<그림 #5. 이메일, 전화번호 등의 정보가 노출된 화면>

<그림 #6. 빌게이츠도 리셀러도 등록된(!) 화면>

Unu는 이러한 사항을 RBS 측에 알렸습니다. 하지만, RBS는 이러한 문제가 발생한 사이트는 실제 운영 중이 아닌 테스트용 서버라고 밝혔다고 합니다. 그 이후에는 아래와 같이 접속이 제한되도록 소스가 변경된 상태입니다.


Unu가 사용하는 공격 방법을 정리하면 다음과 같습니다.

1. 직접 또는 특정 프로그램을 이용하여 SQL Injection 취약점이 있는 링크를 찾아 낸다.

2. 링크에서 SQL 구문을 입력하여 데이터베이스의 이름, 그리고 관리자의 ID/비밀번호를 알아낸다.

3. 그 이후에는 마음먹은 대로 공격을 진행한다.


요약: 블로그에서 SQL Injection / XSS 공격에 대해 다양한 글을 게시하고 있지만, 실제 상업용 사이트를 운영하는 곳에서는 체감하지 못하는 것으로 보입니다. 국내 사이트들도 외국보다 못하면 못했지, 나을바 없다고 생각합니다만, 

잘못 해킹하면 감방(!)갈까봐 공격이나 공개하기가 두렵네요. Nick을 하나 두고 그걸로 활동해야 하나 하는 고민입니다.

자료 출처: http://unu1234567.baywords.com/2009/09/10/rbs-wordpay-hacked-full-database-acces/ 















reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요



    Web Analytics Blogs Directory