SQL 인젝션 취약점과 XSS(cross site scripting)  취약점은 웹 보안에 있어 가장 핵심적인 부분이라고 말할 수 있습니다. 두가지 취약점 모두 입력값(매개변수 등등)을 확인하는 과정이 빠져 있어 이를 이용하여 공격하게 됩니다.

웹애플리케이션 보안의 측면에서는 다양한 진단 툴(스캐너)가 오픈 소스 형태인 무료로, 또는 유명한 보안 회사에서는 수천달러 이상의 고가에 제품으로 판매되고 있습니다.

하지만, 이러한 취약점은 웹애플리케이션 뿐만 아니라 컴파일되는 응용 프로그램에게서도 발생할 수 있는 가능성이 있습니다.

최근 마이크로소프트(Microsoft)는 새로운 안티 XSS 라이브러리의 출시를 약속했으며 조만간에 공개될 예정이라고 합니다. 아직까지 자세한 사항에 대해 알려지지 않았습니다만, 정보 보안 팀의 아닐 레부루(Anil Revuru)는 기존의 안티-XSS(AntiXss) 라이브러리를 새롭게 한 WPL(Web Protection Library)로 출시한다고 합니다.

WPL은 기존의 안티-XSS 라이브러리에 SRE(Security Runtime Engine)이 추가되었으며, LDAP 인젝션과 CSS(Cascading Style Sheets) 인젝션을 완화하는 기능이 추가되어 있습니다. SRE 모듈에는 입력값에서 올바른 SQL 쿼리인지 진단하기 위해 특별한 SQL 파서를 사용하여 SQL 인젝션 시도를 진단하고 차단하는 새로운 HTTP 모듈이 포함되어 있습니다.

WPL을 적용하기 위해서는 ASP.NET으로 개발 환경을 바꾸는 것이 좋다고 MS가 추천하고 있습니다. WPL CPL은 수주 내에 다운로드 링크가 공개될 예정입니다.

WPL v1.0의 주요한 기능은 다음과 같습니다.
  • 인코딩 및 변수 확인(sanitization)기능을 제공하는 새로운 Encoder, Sanitizer 클래스 제공.
  • AntiXss 클래스 제외. 하위 호환성을 위해 메소드는 제대로 동작하지만 AntiXss로 컴파일할 때 경고 메시지 표시.
  • 성능 향상을 위해 Anti-XSS 모듈 업데이트
  • 입력 값에서 SQL 쿼리문을 진단할 수 있도록 새로운 SQL 인젝션 진단 모듈 추가
  • 비주얼 스튜디오에서 손쉽게 구성 파일을 설정할 수 있도록 UI 변경
  • SRE에서는 새로운 완화 방침을 구현할 수 있도록 확장된 API 공개
참고로, MS Anti-XSS 라이브러리 3.1 버전은 아래 링크에서 다운로드할 수 있습니다.

다운로드 링크

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    최근 SQL 인젝션, XSS 공격 등 웹 공격이 심화되고 있는 가운데 마이크로소프트는 코드 수준에서 이러한 취약점을 분석하여 해결할 수 있는 닷넷 기반의 코드 분석 툴을 공개했습니다.

    CAT.NET(Code Analysis Tool)의라고 불리우며 XSS(Cross-Site Scripting), SQL 인젝션, XPath ㅇ니젝션과 같은 공격 방법에 대한 취약점을 바이너리 코드 수준에서 진단할 수 있도록 설계되었습니다.

    CAT.NET은 비쥬얼 스튜디오 IDE 인터페이스의 스냅인으로 포함되어 사용할 수 있으며 C#, Visual Basic .NET, J# 언어에서 발생할 수 있는 취약점을 진단할 수 있습니다.

    현재 지원하는 기능은 XSS, SQL 인젝션, Process Command Injection, File Canonicalization, Exception Information, XPath Injection, Redirection to User Controlled Site 등입니다.

    운영하기 위해서는 .NET Framework 2.0 이상 그리고 Visual Studio 2005/2008이 필요합니다.

    다운로드 링크: http://www.softpedia.com/get/Programming/Other-Programming-Files/Code-Analysis-Tool-NET.shtml


     

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근 마이크로소프트는 비주얼 스튜디오 6에 관련된 제로데이 취약점에 대해 조사하기 시작하였습니다. 비주얼 스튜디오는 프로그래밍 언어를 개발하는 통합 도구로 6은 오래된 버전입니다.

      취약점의 원인은 "Masked Edit"라고 하는 액티브 액스 컨트롤 때문에 발생하는 것으로 알려져 있습니다. 이 취약점을 발표한 Secunia(http://www.secunia.com)에서는 이 취약점을 "아주 치명적"인 것으로 간주하였으며, 스택 기반의 버퍼 오버플로를 발생시킨다고 합니다.

      사용자가 특별하게 조작된 웹사이트를 방문하는 경우에 악성 코드에 감염될 수 있습니다.

      취약점이 발생하는 제품은 비주얼 스튜디오 6 엔터프라이즈, 프로페셔널, 스탠다드 에디션이지만, 다른 버전에서도 동일한 취약점이 있을 것으로 예상됩니다.

      비쥬얼 스튜디오 6은 지난 2000년 7월경에 마지막으로 업데이트되었으며, 현재로는 더이상 기술지원이 제공되지 않습니다.

      참고로, 최신 버전은 비주얼 스튜디오 2008입니다.

      출처: http://www.scmagazineus.com/Microsoft-looks-into-Visual-Studio-bug/article/115459/



      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus


        Web Analytics Blogs Directory