웹 보안을 논할 때 가장 많이 언급되는 공격 기법이 바로 OWASP Top 10 입니다. 이에 대한 자세한 자료는 아래 링크를 참고하십시오.


웹 보안 쪽보다는 원래 DBMS 쪽에 연관된 공격으로 보는 것이 타탕해 보이지만, 실제로 웹을 통해서 공격이 시작되기 때문에 웹 보안으로 불러야 할 것으로 보입니다.

하여튼, OWASP Top 10에서 가장 많이 언급되고 있는 SQL Injection 공격은 공격하기가 아주 쉽고, 자동화되어 널리 공격할 수 있는 공격자 입장에서는 아주 손쉬운 먹이감입니다.

아래는 오라클 DMBS에서 발생한 SQL Injection 취약점에 대한 부분입니다.


1. SQL Injection Vulnerability in Oracle Database Using "SYS.DBMS_AQIN" http://bit.ly/9OzZKC

2. SQL Injection/Privilege Escalation Vuln Oracle DB using DBMS_AQADM_SYS http://bit.ly/cNinMD

3. SQL injection vuln in Oracle 10gR1 DB using SYS.DBMS_STREAMS_AUTH http://bit.ly/9d1H2N

4. SQL Injection vuln in Oracle with ".ALTER_AUTOLOG_CHANGE_SOURCE" function http://bit.ly/bHcLh2

5. SYS.KUPW$WORKER SQL injection/ privilege escalation in Oracle 10g Release 1 http://bit.ly/d1uuQ7

6. SYS.DBMS_CDC_IMPDP SQL injection/ privilege escalation in Oracle 10g Release 1 http://bit.ly/bRDTNi

7. SYS.DBMS_STATS SQL injection/ privilege escalation in Oracle 10g Release 1 http://bit.ly/anpA8t

8. SYS.DBMS_DBUPGRADE SQL injection/ privilege escalation in Oracle 10g http://bit.ly/d1yzYp


오라클 뿐만 아니라 MySQL, MS SQL도 물론 SQL Injection 취약점에 널리 노출되어 있다는 점 또한 잊지 말아야 할 것입니다.

감사합니다.

출처: http://advice.cio.com/appsecinc/11514/understanding_sql_injections_in_the_database_management_system
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    vBulletin은 게시판 형태의 웹사이트를 구축할 수 있도록 완비가 되어 있는 소프트웨어로 국내로 치자면 제로보드 정도로 불리울 수 있습니다.

    vBulletin 이외에도 PHPBB, SMF 등 다양한 소프트웨어가 외국에서 널리 사용되고 있으며 필자가 운영하는 포럼도 SMF로 구성되어 있습니다.

    이러한 소프트웨어는 소스가 공개되어 있는 경우가 많기 때문에 그만큼 해커들의 공격에 휘말릴 가능성이 매우 높습니다.

    또한, 쉽게 사용할 수 있도록 개발되어 많은 곳에서 사용하기 때문에 만약 취약점이 발표되면 많은 사이트가 피해를 당할 수 있으며, 즉각적인 패치도 실제로는 어려울 가능성이 높습니다.

    왜냐하면, 설치된 대로 사용하는 것이 아니라 스킨, 기능 등을 수정하는 일명 MOD(Modification)를 적용하게 되어, 소스가 중구난방일 수도 있기 때문입니다.

    최근 vBulletin에서 사용자가 관리자 권한으로 회원들의 이메일 주소 등 중요한 개인 정보를 빼낼 수 있는 취약점이 알려졌고, vBulletin 측에서는 즉시 패치를 공개했습니다.


    문제가 되는 버전은 v3.8.6 으로 이를 수정한 버전이 바로 3.8.6-PL1 입니다.

    패치 방법은 그리 어렵진 않습니다.

    감사합니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      검색 엔진 하면 바로 구글을 떠올릴 수 있을 정도로, 검색엔진의 지존은 바로 구글입니다.

      구석구석 숨겨져 있는 정보를 찾아 내 줄뿐만 아니라, 바로 해킹과 같은 분야에서도 유용하게 사용됩니다.

      즉, 특정 취약점의 패턴을 의미하는 URL, 페이지 등을 구글로 검색하면 꽤 많이 찾아 낼 수 있으며 이러한 방식으로 해킹하는 방법을 구글 해킹(Google Hacking)이라고 합니다.

      최근에는 MS가 내놓은 빙(BING)에서도 이러한 해킹 기술을 사용하고 있으며 이를 빙 해킹(Bing Hacking)이라고 합니다.

      하여튼, 이렇게 검색엔진으로 취약점을 찾아내는 방법을 이용하여 관리자에게 통보하는 새로운 서비스가 출현할 예정입니다.

      먼저 잘 알려져 있는 웹 취약점 검색 문자열의 데이터베이스를 모니터링하는 RSS 서비스(Google Hack Alert, Bing hack Alert)를 선보일 예정입니다.

      또한, 아이폰과 같은 모바일 기기에서도 검색하여 볼 수 있도록 하는 앱스(Google Diggity, Bing Diggity)도 출시할 예정이라고 합니다. 관리자는 특정 도메인이나 IP를 기준으로 검색할 수 있어 보다 정확한 결과를 얻을 수 있을 것으로 생각됩니다.

      또한 반대로 해킹에도 이용될 수 있다는 단점이 대두되고 있습니다.


      하지만, 이 서비스의 본래 목적인 웹 보안의 해결에는 크게 도움을 주지 못할 것으로 예상됩니다.

      감사합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요

        시만텍, 소포스, 카스퍼스키와 같은 유명한 보안 기업에서는 일정한 기간 즉, 분기나 반기마다 보안 정책이나 뉴스, 트렌드에 대한 보고서를 정기적으로 발간합니다.

        최근 발간한 시만텍의 메시지랩스의 보고서에 따르면 악성 코드를 유포하는 사이트의 약 90%가 정상적인 웹사이트인 것으로 밝혀져 충격을 주고 있습니다.

        기존의 경향대로라면 해커들이 고유한 목적으로 사용하기 위해 도메인을 생성하고 이를 이용하여 악성코드를 다운로드하거나 공격하게 하는 일련의 행동을 보여왔습니다. 하지만, 이렇게 도메인은 생성하게 되는 경우에는 금방 탄로가 나게 되어 차단되는 단점이 있다고 볼 수 있습니다.

        하지만, 최근 월드컵 웹사이트의 해킹 건과 같이 정상적인 웹사이트에 악성코드를 유포하는 페이지나 스팸 메시지를 보여주는 페이지를 은밀하게 업로드하여 이용하는 행태가 더욱 증가하고 있습니다.

        이렇게 악성 코드를 유포하게끔 하기 위한 공격 방식은 XSS(Cross-site scripting), SQL 인젝션, FTP 정보 누출 등을 이용하는 것으로 알려지고 있습니다.

        이중 XSS와 SQL 인젝션은 웹 취약점의 가장 대표적인 사례로 손꼽이고 있으며, 아직까지도 제대로 해결되지 못하고 있습니다. 물론, 이 취약점들은 악성 코드를 대규모로 유포시키는 Mass SQL Injection 취약점을 포함하고 있습니다.

        FTP에 관련된 부분으로는 계정정보가 누출되거나, ACL을 제대로 관리하지 못하는 경우에 발생하는 것으로 예상됩니다.

        감사합니다.



        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요

          1. Favicon of http://hoostory.kr BlogIcon hoo 2010.07.21 17:32  댓글주소  수정/삭제  댓글쓰기

            항상 주변에 있어 존재감을 느끼지 못하는 그런 것이 되지 않았나 싶을 정도로,, xss 와 sql-inject는 이슈가 되지 못하는 그런 이슈가 된것 같습니다.
            경각심을 일으키고, 곱씹어 볼 수 있는 내용이네요, 좋은 글이라 생각됩니다.

            잘보고 갑니다~

          2. Favicon of https://moonslab.tistory.com BlogIcon 문스랩닷컴 2010.07.22 15:50 신고  댓글주소  수정/삭제  댓글쓰기

            댓글 감사합니다.

            저도 이거 떠든지 몇년째지만, 그대롭니다.

            맨날 그대로... 잃어버린 이거도 10년이 넘네요.

          최근 터키의 한 해커가 이스라엘 국적의 10만명 이상의 개인정보를 인터넷에 공개해서 문제가 되고 있습니다.

          We-CMS 웹사이트를 운영하는 Erez Wolf라는 이스라엘 블로거는 이스라엘 사람들의 이메일 주소, 비밀번호 등의 개인정보가 약 2만6천 여건 올려져 있는 것을 발견하여 이를 알렸습니다. 이 정보는 피자헛에서 나온 것을 알려졌습니다.

          피자헛은 지난 주 금요일에 공식적으로 누출되었다는 사실을 알렸으며, 누출된 정보는 피자를 구매한 고객에 대한 것이며, 다만, 신용카드 정보는 저장되어 있지 않았기 때문에 금융 관련 피해는 없을 것이라고 합니다.

          한 편, 약 7만건의 개인정보가 있는 다른 파일이 TheMarker.com에 올려져있다는 것도 알려졌습니다.

          출처: http://www.darkreading.com/security/cybercrime/showArticle.jhtml?articleID=226000027&cid=RSSfeed_DR_News

          PS: 국내 피자헛 사이트도 웹보안에 대해서 다시 한번 검토해야 할 것 같습니다!
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요

            웹서버의 보안을 진단하는 웹 스캐너 중의 하나인 Nikto 의 최신 버전이 공개되었습니다. 이 버전에서는 기존 버전에서 발견된 버그와 같은 문제점을 해결하였으며, 일부 기능도 향상되었으며 자세한 사항은 아래와 같습니다.

            • 대화형 검사 상태 보고서 지원.
            • 설정을 자세하기 볼 수 있도록 변경.
            • 메모리/속도 향상
            • 뮤테이션 검사시 메모리 사용량 감소.
            • 모든 응닶 값속에서 문자열 찾기 기능 제공.
            • 인증 코드 재작성.
            • 서버의 요청을 최소화하기 위해 캐시 사용.
            • Frank Breedijk이 제공한 Nessus NBE 보고서 형식.
            • 명령행에서 플러그인 선택 기능 향상.

            보다 자세한 사항은 아래 링크를 참고하십시오.

            감사합니다.




            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요

              최근 아도브 아크로뱃/리더에서 보안상 매우 치명적인 취약점이 발견되어 문제가 되고 있습니다. 이 취약점이 공개되면서 이를 이용하는 악성 코드로 인해 약 1만대 이상이 공격당했으며, 설상 가상으로 며칠 전에 공개한 보안 패치로도 완벽하게 해결되지 않은 상태입니다.

              외국의 보안 업체인 소포스(Sophos)의 보안 전문가는 아크로뱃의 버전을 확인하여 패치되지 않은 시스템인 경우에는 악성 프로그램을 다운로드하는 새로운 형태의 악성 프로그램을 소개했습니다.


              공격의 형태는 교묘하게 조작된 PDF 문서를 이용하여 아크로뱃 리더 또는 서비스의 버전을 확인합니다. 만약 CVE-2008-2992, CVE-2009-0927, CVE-2009-4324, CVE2007-5659 취약점을 가진 아도브 리더, 아크로뱃 v9.0x, 8.1.2, 7.1.0 이하 버전인 경우에 공격을 당하게 되지만 다행이도 최신 버전은 아니기 때문에 그리 큰 피해가 나지는 않을 것으로 예상됩니다.

              취약점이 있는 경우에는 브라우저에서 특정한 URL로 이동하여 페이로드를 다운로드한 후에 마지막으로는 구글 사이트로 이동합니다.

              PDF 취약점의 문제는 두고두고 계속될 것으로 보이며, 이번과 같이 한층 더 발전한 공격 기법으로 인해 보안 업체의 고민이 더욱 늘어날 것입니다.

              감사합니다.

              출처: http://www.sophos.com/blogs/chetw/g/2010/06/30/pdf-java-malware-target-unpatched-pcs/

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요

                최근 다양한 코드를 분석하는 가운데 재미있는 사이트의 결과가 있어 적어 봅니다.

                먼저 아래는 정상적인 사이트로, 아마도 개인 즉, 가정에 대한 홈페이지로 보입니다.

                그 아래에 있는 링크 중에 하나를 클릭하면 잠시 뭔가 동작이 이뤄지고 다른 사이트로 이동하게 됩니다.



                이 과정 뒤에는 최종적으로 다른 사이트(불법적인 비아그라 판매 사이트)로 이동합니다.

                결론적으로, 정상적인 사이트의 내부에 다른 웹서버로 리디렉션하는 코드를 은밀하게 올려둡니다. 그러한 후에 그런 코드를 활용하는 수단으로 이용하는 것 같습니다.

                위의 내역을 HttpWatch로 살펴 보면 아래와 같습니다.

                물론, 이러한 공격은 웹 서버의 취약점, 파일 업로드의 취약점 등을 이용한 것으로 유추할 수 있습니다. 웹 서버에 대한 직접적인 SQL Injection, XSS 공격도 중요하지만, 이러한 공격도 있다는 점을 주목해야 하지 않나 싶습니다.

                감사합니다.
                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요

                  다양한 안티바이러스 제품을 가지고 수많은 악성 프로그램의 진단율 등 테스트를 진행하는 기관 가운데에는 AV-Comparatives가 유명합니다만, 그 외에도 여러 독립적인 기관이 활동하고 있습니다.

                  AV-Comparatives에서는 주로 진단율에 대해 다루지만, 오늘 소개하는 ICSA 연구소에서는 인증(Certified)라는 개념으로 발표합니다.

                  ICSA 연구소는 안티바이러스 제품뿐만 아니라, 방화벽과 같은
                  네트워크 장비까지도 인증 대상으로 다루고 있습니다.

                  따라서, ICSA 연구소에서 인증을 필(!)한 제품이라면 국제적으로나 기술적으로 믿을 수 있는 제품이라고 할 수 있습니다.

                  ICSA 연구소에서는 인증한 제품에 대한 검색 기능을 제공합니다.


                  아래 화면은 WAF(Web Application Firewall, 웹방화벽) 중 ICSA 연구소에서 인증된 제품에 대한 검색 결과 입니다.


                  감사합니다.


                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    댓글을 달아 주세요

                    최근 SQL 인젝션 취약점을 이용하여 대규모로 공격이 이뤄지는 Mass SQL Injection 공격이 서너번 발생했습니다.

                    외국의 유명한 보안 기업인 M86 Security Lab은 Pushdo 봇넷이 발송하는 스팸에서 Asprox 의 변형된 악성 코드가 발견되었다는 소식을 공개했습니다. 원래 Asprox 악성 코드는 스팸을 발송하는 용도였지만 이 번에는 IIS/ASP 플랫폼으로 구성된 웹사이트에 대규모로 감염되는 현상이 새롭게 나타났습니다.  이 번주에 들어 새롭게 출현한 Asprox의 변형된 악성 코드들은 스팸을 보낼 뿐만 아니라 SQL 인젝션 공격을 수행하는 것으로 확인되었습니다.

                    현재 다음과 같이 3개의 사이트가 공격에 사용되고 있습니다.

                    CL63AMGTART.RU
                    HYPERVMSYS.RU
                    ML63AMGSTART.RU

                    이 도메인들은 Asprox 봇의 컨트롤 서버를 인식하는데 사용되고 있으며, 컨트롤 서버에서는 스팸 템플릿 및 메일 수신자에 대한 정보도 제공합니다.


                    현재까지 입수된 공격 코드를 살펴 보면 아래 화면과 같이 SQL 인젝션 명령어를 포함하고 있는 것을 확인할 수 있습니다.

                    한편, Asprox 봇넷에서는 IIS/ASP로 작성된 웹사이트를 찾기 위해 구글의 엔진을 이용하고 있는 것도 확인되었습니다.

                    SQL 인젝션 공격에 이용되는 인코딩된 코드는 아래와 같습니다.

                    위의 코드 중에 노랑색으로 표시된 부분을 디코딩하면 아래와 같은 SQL 구문이 나타납니다.

                    위의 하면에서 빨간색 사각형으로 표시된 부분을 디코딩하면 아래와 같이 공격 코드를 유포하는 사이트를 알아 낼 수 있었습니다.

                    이 코드를 이용하여 구글에서 검색해 보면 현재 감염되어 있는 웹사이트의 현황 및 숫자를 파악할 수 있습니다.

                    위 화면에서 빨간색으로 표시된 것은 국내 사이트로 Aspox 봇넷의 공격으로 침해된 상태를 나타냅니다. 이 사이트를 방문해 보면 아래와 같이 공격된 코드가 아직도 남아 있는 것을 확인할 수 있습니다.
                    <경고: 해당 사이트에는 아직 공격 코드가 남아 있는 상태이므로 방문하지 않는 것이 좋습니다>

                    구글을 통해 검색해 본 결과, 현재 6천 여개의 URL이 감염되어 있으며, Asprox의 변형 코드가 출현할 때마다 침해 당하는 사이트가 증가할 것으로 예상됩니다.

                    필자가 자주 언급하는 사항이지만, 최근에는 웹 보안의 가장 기본적이면서도 오래된 고질병인 SQL 인젝션과 XSS 공격이 다시 활개를 치고 있습니다. 아울러 하나의 공격 방식만을 고집하는 것이 아니라 스팸 + SQL 인젝션 공격과 같이 2가지 이상의 상이한 공격 벡터를 보이면서 이를 차단하는 방법에 대한 추가적인 연구가 필요할 것으로 생각됩니다.

                    감사합니다.

                    출처: http://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asp


                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus

                      댓글을 달아 주세요



                      Web Analytics Blogs Directory