SQL Injection 취약점을 이용하여 영국 국회 웹사이트의 데이터베이스를 침해하는 사건가 발생했습니다. 이 사건으로 인해 웹사이트에 관련된 비밀번호가 누출되었습니다.

"Unu"라는 별명을 가진 해커는 카스퍼스키, 비트디펜더, F-Secure, 시만텍 등의 보안 제품 사이트들, 헤럴드 재단(International Herald Tribute), 텔레그래프 등의 신문사, 특히 최근의 Yahoo! Local 등의 보안 취약점을 밝힌 인물입니다.

Unu에 따르면 취약점은 http://lifepeeragesact.parliament.uk/ 내의 php 스크립트에 SQL Injection 취약점 즉, 매개변수를 제대로 처리하지 못하는 것으로 알려지고 있습니다. 따라서, 이 취약점을 이용하여 해커는 원하는 SQL 명령문을 실행할 수 있습니다.

웹 사이트는 Debian 4.0 (Etch) 리눅스 운영체제를 사용하고, MySQL 5.0.32 데이터베이스 엔진을 사용합니다. 아래 그림과 같이 SQL 명령문을 통해 사용하는 데이터베이스가 parliament_live라는 것을 알아 냈습니다.
<#1. 데이터베이스의 이름을 알아내는 화면>

더욱 큰 문제는 데이터베이스의 레코드 중 한 항목인 비밀번호 부분이 암호화되지 않고 일반 평문으로 저장되었다는 것입니다. 아래 화면과 같이 SQL 명령문을 실행하여 사용자의 비밀번호를 손쉽게 알아낼 수 있습니다.

<#2. 관리자 비밀번호를 알아내는 화면>

한 가지 흥미로운 사실은, 관리자 중에는 Alex Fuller에 속해 있는 "fullera"라는 계정이 있었다는 것입니다. 이 ID는 영국 국회 홈페이지의 개발 관리자 역할을 맡고 있습니다. 그리고, "reida", "moss"라는 2 ID는 Mr. Alan Reid(민주당 하원), Mr. Malcolm Moss(보수당 하원)라는 주장이 있습니다만 공식적으로 확인되지는 않았습니다.

아직 이 취약점을 해결되지 않은 상태이며 분석 결과 아래와 같이 취약점이 존재합니다. 물론, 이 링크 이외에도 다수 취약점이 존재합니다.
(알림: 취약점 남용을 막기 위해 URL의 뒷부분을 안보이게 처리합니다)
<#3. 아직 해결되지 않은 것을 분석한 화면>
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    최근 익명의 해커가 Yahoo! Local Neighbors 게시판에서 SQL 인젝션 취약점을 발견했습니다. 취약점을 통해 해커는 관리자나 사용자의 정보를 읽어 낼 수 있으며 서버에 쉘코드(shellcode)도 업로드가 가능합니다.

    해커는 "Unu"라는 이름을 이용하여 취약점을 발견했으며 이에 대한 증거로 관련 스크린샷을 함께 공개했습니다.

    <그림 #1.  데이터베이스의 스키마 정보가 노출된 화면 >

    <그림 #2. root 권한으로 데이터베이스에 연결한 화면>



    <그림 #3/4. 개인 정보가 누출된 화면>

    <그림 #5. 특정한 파일에 데이터를 업로드하는 화면>

    다행이도 이 문제는 야후에게 알려져 모두 패치가 완료된 상태입니다.

    크고 유명한 웹사이트라고 해도 보안 취약점은 피해갈 수 없나 봅니다.








    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      인터넷 업계의 보안의 화두인 SQL Injection 공격이 국내외 사이트를 초토화시키고 있습니다. 일반 회사 웹사이트, 언론, 게임 업체 웹사이트 등 하루에도 수백수천 개의 사이트들이 피해를 당하고 있으며, 가장 중요한 피해는 웹 사이트를 방문하는 사용자가 자기도 모르게 악성 코드를 다운로드하여 실행되어 감염된다는 점입니다.
      SQL Injection 공격은 게시판과 같이 데이터베이스를 사용하는 웹 환경에서 주로 발생합니다. 데이터(글)를 쓰기 위해서는 사용자와 같이 일정한 권한을 가지고 접근해야 하지만, 이러한 취약점을 이용하면 사용자의 로그온 등을 하지 않고도 또는 관리자의 권한을 갖고 있지 않더라도 데이터의 변조가 가능한 공격입니다.

       
      UN(United Nations)이 운영하는 사이트에서는 약 2년 전에 발견된 SQL Injection 취약점이 여전히 남아 있는 것으로 알려져 충격을 주고 있습니다.

      더 충격적인 사실은 반기문 사무총장의 발언이 SQL Injection 공격으로 인해 변조되었다는 주장입니다. 2007년 8월에 반기문 총장이 중동 지역에서 미국과 이스라엘의 조치에 대한 메시지를 발표했는데 SQL Injection 공격으로 메시지가 변경된 적이 있다고 합니다.

      참고로, UN 웹사이트들은 네이버와 같이 하나의 큰 사이트를 어느 부서(가령 보안팀)에서 총괄하여 관리하는 형태가 아닙니다. UN 웹사이트는 수직적인 형태가 아니라 다양한 부문, 각 국가 등이 포함된 수평적인 구조로 구성되어 있으며, 이러한 넓은 형태의 사이트에서는 사소한 보안적 취약점이 나타나더라도 해결하기가 어려우며, 동일한 취약점을 사이트 내의 다른 서버에서도 종종 발견되기도 합니다. 즉, 총괄적으로 관리할 수가 없다는 것입니다.

      이러한 문제점을 해결하기 위해서는 소스 차원에서 검증을 거쳐야 하고, 전문 적인 보안 스캐너 프로그램이나 서비스를 이용하여 웹 사이트의 보안을 점검해야 하지만, 사실상 검사하는데에도 수일 또는 그 이상의 걸리기 때문에 검사 자체도 아주 어렵다고 볼 수 있습니다.

      반기문 총장님한테 "보안팀" 구성하시라고 메일이라도 드리고 싶은 마음이 굴뚝~같습니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요

        1. Favicon of http://www.sis.pe.kr BlogIcon 엔시스 2009.10.31 11:37  댓글주소  수정/삭제  댓글쓰기

          이미 그런 일들이 있었군요. 트랙백 같이 쏘고 갑니다. 감사합니다.

        개인용 단문 서비스인 트위터는 개설 초기부터 보안 문제로 인해 여러가지 말들이 많아 왔습니다.

        특히, 개발자의 메일 주소가 노출되는 바람에 톡톡히 망신을 당하곤 했습니다. 관련 자료는 http://moonslab.com/693 링크를 참고하세요.

        또한 어제부터는 트위터 서버로의 DDoS 공격이 진행되어 일부 서비스의 장애가 발생하는 상황입니다.

        트위터는 이러한 보안적 위협으로 안전해지기 위해 다양한 수단을 강구하고 있으며, 오늘  악성 URL을 트윗(단문 메시지)로 적지 못하도록 차단하는 기능을 소개합니다.

        지난 월요일에 보안 기업인 F-Secure의 연구자인 Mikko Hypponen은 트위터에 글을 쓰는 도중에 악성 URL을 포함할 때에 경고창이 나타나면서 제대로 등록되지 않는 현상을 발견했습니다. 경고창에는 "Oops! Your tweet contained a URL to a known malware site"이 표시됩니다. 

        이러한 기능은 구글의 Safe Browsing API를 이용하여 악성 링크를 확인하는 것으로 구글 관계자가 공식적으로 확인해 주었습니다.

        구글의 Safe Browsing API는 구글로 검색하는 과정에서 유해 사이트로 등록된 곳을 방문할 때에 알려주는 즉, 악성 코드가 포함되어 있거나 과거에 포함된 전력이 있는 유해한 사이트를 미리 알려 주어 방문을 하지 않도록 유도합니다.

        하지만, 일부 보안 전문가들은 악성 URL을 차단하는 기능이 유용할 수도 있지만, 마찬가지로 우회할 수 있는 구멍을 가지고 있다고 얘기합니다.

        우회하는 방법은 바로 URL을 짧게 표시하는 서비스입니다. 트위터에서 주고 받는 메시지, 즉 트윗은 140글자(영문)까지 적을 수 있기 때문에 우리가 자주 입력하는 URL을 최대한 줄이는 필요성이 제기되어 왔으며, 이러한 수요에 맞게 여러 개의 URL 단축 서비스를 제공하는 사이트가 활성되어 있습니다. 대표적인 서비스로는 Tinyurl.com, Bit.ly 등이 있습니다.

        또한, 악성 URL에서 www 글자를 빼고 테스트한 결과 또한 마찬가지로 우회할 수 있는 방법으로 알려 지고 있습니다.

        한 편, 짧은 URL로 악성 URL을 변환하더라도 언젠가는 구글에서 이러한 짧은 URL도 인식할 것이라는 의견도 있습니다.

        트위터는 웹 2.0 기반의 서비스로 보안상 아직 취약한 점이 매우 많습니다. 얼마만큼 보안을 해결할 수 있을지 관심을 두고 봐야 할 것으로 보입니다.



         


        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요

          1. Favicon of http://six003.tistory.com BlogIcon sisters 2009.08.07 17:29 신고  댓글주소  수정/삭제  댓글쓰기

            트위터도 고생이 많군요 ㅎㅎㅎ

          SQL 인젝션 공격은 XSS와 더불어 웹 상에서 가장 많이 이용하는 공격 형태입니다. 아래는 공격뿐만 아니라 취약점을 분석하기 위해 사용하는 대표적인 쿼리 문장을 정리했습니다.

          ‘OR ” = ‘ Allows authentication without a valid username.
          admin’– Authenticate as user admin without a password.
          ‘ union select 1, ‘user’, ‘pass’ 1– Requires knowledge of column names.
          ‘; drop table users– DANGEROUS! this will delete the user database if the table name is ‘users’.
          ABORT — abort the current transaction
          ALTER DATABASE — change a database
          ALTER GROUP — add users to a group or remove users from a group
          ALTER TABLE — change the definition of a table
          ALTER TRIGGER — change the definition of a trigger
          ALTER USER — change a database user account
          ANALYZE — collect statistics about a database
          BEGIN — start a transaction block
          CHECKPOINT — force a transaction log checkpoint
          CLOSE — close a cursor
          CLUSTER — cluster a table according to an index
          COMMENT — define or change the comment of an object
          COMMIT — commit the current transaction
          COPY — copy data between files and tables
          CREATE AGGREGATE — define a new aggregate function
          CREATE CAST — define a user-defined cast
          CREATE CONSTRAINT TRIGGER — define a new constraint trigger
          CREATE CONVERSION — define a user-defined conversion
          CREATE DATABASE — create a new database
          CREATE DOMAIN — define a new domain
          CREATE FUNCTION — define a new function
          CREATE GROUP — define a new user group
          CREATE INDEX — define a new index
          CREATE LANGUAGE — define a new procedural language
          CREATE OPERATOR — define a new operator
          CREATE OPERATOR CLASS — define a new operator class for indexes
          CREATE RULE — define a new rewrite rule
          CREATE SCHEMA — define a new schema
          CREATE SEQUENCE — define a new sequence generator
          CREATE TABLE — define a new table
          CREATE TABLE AS — create a new table from the results of a query
          CREATE TRIGGER — define a new trigger
          CREATE TYPE — define a new data type
          CREATE USER — define a new database user account
          CREATE VIEW — define a new view
          DEALLOCATE — remove a prepared query
          DECLARE — define a cursor
          DELETE — delete rows of a table
          DROP AGGREGATE — remove a user-defined aggregate function
          DROP CAST — remove a user-defined cast
          DROP CONVERSION — remove a user-defined conversion
          DROP DATABASE — remove a database
          DROP DOMAIN — remove a user-defined domain
          DROP FUNCTION — remove a user-defined function
          DROP GROUP — remove a user group
          DROP INDEX — remove an index
          DROP LANGUAGE — remove a user-defined procedural language
          DROP OPERATOR — remove a user-defined operator
          DROP OPERATOR CLASS — remove a user-defined operator class
          DROP RULE — remove a rewrite rule
          DROP SCHEMA — remove a schema
          DROP SEQUENCE — remove a sequence
          DROP TABLE — remove a table
          DROP TRIGGER — remove a trigger
          DROP TYPE — remove a user-defined data type
          DROP USER — remove a database user account
          DROP VIEW — remove a view
          END — commit the current transaction
          EXECUTE — execute a prepared query
          EXPLAIN — show the execution plan of a statement
          FETCH — retrieve rows from a table using a cursor
          GRANT — define access privileges
          INSERT — create new rows in a table
          LISTEN — listen for a notification
          LOAD — load or reload a shared library file
          LOCK — explicitly lock a table
          MOVE — position a cursor on a specified row of a table
          NOTIFY — generate a notification
          PREPARE — create a prepared query
          REINDEX — rebuild corrupted indexes
          RESET — restore the value of a run-time parameter to a default value
          REVOKE — remove access privileges
          ROLLBACK — abort the current transaction
          SELECT — retrieve rows from a table or view
          SELECT INTO — create a new table from the results of a query
          SET — change a run-time parameter
          SET CONSTRAINTS — set the constraint mode of the current transaction
          SET SESSION AUTHORIZATION — set the session user identifier and the current user identifier of the current session
          SET TRANSACTION — set the characteristics of the current transaction
          SHOW — show the value of a run-time parameter
          START TRANSACTION — start a transaction block
          TRUNCATE — empty a table
          UNLISTEN — stop listening for a notification
          UPDATE — update rows of a table
          VACUUM — garbage-collect and optionally analyze a database
          show processlist — view running process
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요


            최근 해킹 등의 공격 양상을 보면, 웹 쪽과 데이터베이스 쪽이 주류를 이루고 있습니다. 특히, 데이터베이스에서는 SQL 인젝션 공격과 XSS 공격이 대부분을 차지합니다.

            SQL 인젝션/XSS 공격의 주된 원인은 웹 소스 개발 시에 매개변수로 넘어가는 값의 형태를 명확히 제한하지 않아서 입니다. 특히, 소스의 재활용(!)이 활발한 웹 개발 분야에서는 특히 많은 사이트에서 동일한 취약점을 가지는 경우가 많습니다.

            SQL 인젝션 공격의 양상을 보면, 사용자가 웹사이트에 로그온하고 나서 어떤 기능을 사용하는 비밀 사이트(Private Site)의 경우에는 SQL 인젝션 공격이 거의 드믑니다. 즉, 크래커가 어느 사이트를 뚫겠다고 마음 먹은 후에야 공격이 가능해 집니다. 

            하지만, 사용자가 로그온을 하지 않더라도 사이트를 이용할 수 있는 공개형 사이트(Public Site)에서는 크래커가 사용자 접속 정보(ID/PW)가 없더라도 공격을 시도할 수 있으므로 작년 9월에 최고조에 이른 MASS SQL 인젝션 공격이 출현하게 됩니다.

            특히, SQL 인젝션 공격을 차단하기 위해서 WAF(Web Application Firewall) 장비/소프트웨어를 도입하거나, IPS 등에서 패턴을 추가하기도 합니다. 물론, 전통적인 방화벽 장비로는 이러한 SQL 인젝션 공격을 차단할 수 없습니다.

            따라서, 가장 확실하면서도 안전한 방법은 WAF 등을 도입함과 동시에 소스에 대해 보안 검토를 진행하는 것입니다. 사이트를 모두 개발한 상태인 경우에는 개발자 인력이 없는 경우에는 추가적인 비용이 들 수도 있으며, 개발 중인 사이트에서는 개발 일정이 늘어나게 되는 경우가 있을 수도 있다 할 수 있습니다.

            보안상 안전한 소스로 개발하기 위해서는 다음과 같은 3가지 기준에 합당하도록 소스를 변경해야 합니다.

            • 매개 변수화된 SQL 구문을 사용 
            • 매개변수 ID 검증 - 매개변수로 넘어 가는 값의 형태(숫자, 문자 등등)를 명확히 지정하고 이를 검증하는 모듈을 추가합니다.
            • SQL 구문에 추가하기 전에 'escape' 문자 사용
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요

              윈도우의 서비스팩이나 보안 업데이트와 유사하게 컴퓨터 제조사들은 자기만의 고유한 소프트웨어, 드라이버 등을 업데이트할 수 있도록 업데이트 프로그램이나 링크를 제공하고 있습니다.

              노트북 제조사인 레노보(Lenovo)에서 최신 소프트웨어로 업데이트한 후에 자사 제품 판매 사이트를 보이게 하는 애드웨어적 성격을 가진 팝업창을 수시로 보이게 하여 불평을 사고 있습니다.

              팝업 창은 시간마다 한번씩 나타나게 됩니다. 물론 화면 상에 표시된 Do not show this message again 옵션을 끄면 되지 않을까 생각됩니다만, 실제로는 이 옵션을 켜고 창을 닫더라도 아무런 소용이 없다는 것입니다.

              현재까지 별다른 개선방향이 알려지지 않고 있으며, 다음과 같은 대안으로 해결할 수 있습니다.

              1. 작업 관리자를 열고 messagecenterplus.exe 프로세스를 찾아 제거합니다.

              2. 시작 -> 제어판 -> 프로그램 추가/제거 -> "message center"와 "messagen center plus" 두 프로그램을 제거합니다.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요

                지금까지의 SQL 인젝션 공격의 유형은 웹 소스의 유효성 검증을 제대로 거치지 않은 결함을 이용하여 데이터베이스에 특정한 코드 즉 iframe이나 자바 스크립트를 삽입하여 공격하는 형태였습니다.

                최근에 주장된 새로운 SQL 인젝션 공격은 고의적으로 서버에서 파일을 삭제하게 하므로써 대규모 서비스의 장애를 발생시킨 것으로 알려지고 있습니다.

                이러한 공격은 웹 호스팅 서비스를 제공하는 영국계 ISP인 VaServ.com에서 발생하였는데, 크래커는 HyperVM(서버 가상화 소프트웨어의 하나) 가상 애플리케이션의 제로데이 취약점을 이용하여 시스템의 권한을 획득하여 약 10만 여개의 웹 사이트의 데이터를 파괴시켰습니다.손상된 대부분의 웹 사이트들은 제대로 백업조차 되지 않아 복구되지 않고 있다고 합니다.

                VaServ.com이 운영하고 있는 웹사이트의 약 반정도에 해당하는 사이트의 데이터가 일요일 저녁 떄 갑자기 삭제되었다고 주장했습니다. 크래커는 모든 파일을 삭제하기 위해 'rm -rf'와 같은 치명적인 유닉스 명령어를 실행했다고 합니다. 또한, 이러한 공격은 SQL에 관련된 것이었으며 고의적이라고 합니다.

                Milw0rm의 보안 전문가들은 LxLabs가 개발한 Kloxo(구 Lxadmin) 웹 호스팅 플랫폼에 대한 24 가지의 보안 취약점 및 공격 방법에 대해 경고했습니다. 이러한 취약점에는 SQL 인젝션 공격도 포함되어 있으며 공격자가 취약한 시스템에서 운영하고 있는 파일을 제어할 수 있는 권한을 획득할 수 있는 취약점도 있습니다.

                이 취약점은 Klaxo 5.75 버전에서 확인되었으며 다른 버전에서도 동일하게 나타날 것으로 예상하고 있습니다. Milw0rm은 지난 주 목요일에 공개적으로 알려 졌지만 LxLabs으로부터 어떠한 회신도 받지 못한 것으로 알려졌습니다.

                LxLabs는 최근에 HyperVM으로 동작하는 가상화 서버가 약 3만개(VPS)가 있으며 Kloxo를 운영하는 서버가 약 8천 개의 이상이라고 합니다. 대규모로 운영하는 사례로는 약 4000 VPS를 중앙집중적으로 관리하고 있다고 합니다.

                HyperVM과 같은 가상화 솔루션은 웹 호스팅 회사에서 하드웨어와 같은 자원을 줄여서 보다 저렴하게 웹 호스팅을 제공할 수 있게 해줍니다.

                한 편, 인도 소프트웨어 회사인 LxLabs의 대표가 월요일에 목을 맨 채 사망한 채로 발견되었습니다. Kt Ligesh는 32살의 나이이며 LxLabs사는 HyperVM을 개발하였습니다. 또한 그는 5년전에 여동생과 어머니를 교살한 혐의를 받고 있었다고 합니다.

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요

                  요즘 SNS 서비스로 인기가 높아져 가고 있는 트위터에서 웜으로 보이는 악성 프로그램이 출현한 것으로 알려지고 있습니다.

                  트위터의 글인 트위트(tweet)에서 "http://juste.ru"라는 링크를 가진 "Best Video"를 클릭하게 되면 악성 프로그램에 감염됩니다. 아직 전파 경로에 대해서 명확히 알려진 것은 없습니다. 하지만, 이 링크를 클릭하게 되면 트위터 계정이 침해되어 비밀번호가 누출되어 스팸이 발송될 수 있다고 합니다.

                  트위터 측에서는 아직까지 이 문제를 해결하고 있지는 못한 상태이며 사용자에게 이 링크를 클릭하지 않도록 주의하라는 정도입니다.

                  한편 트위터에서는 4월 초에도 서비스에 웜이 감염된적이 있습니다. 이번 주에는 "twittercut" 웜이 출현하여 사용자가 이 링크를 클릭하는 순간에 계정 정보가 누출됩니다.
                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    댓글을 달아 주세요

                    1. Favicon of http://arrestlove.tistory.com/ BlogIcon 물여우 2009.06.01 00:52  댓글주소  수정/삭제  댓글쓰기

                      트위터 자체에 있는 취약점을 이용하는 것인가요? 웹사이트에나 메신져를 통항 감염과는 좀 다른 것 같군요. 백만단위의 follow를 가진 분들도 있다고 하던데 이런 분들의 계정 정보가 유출된다면 파급력이 상당할 것 같습니다.



                    Web Analytics Blogs Directory