국내 특히 P2P, 언론, SNS 사이트를 통해 악성코드 유포의 사례가 몇년 째 꾸준히 지속되고 있지만 제대로 대응 및 조치가 이뤄지지 못하는 실정입니다.

이러한 문제가 국내뿐만 그런가 했더니, 해외에도 매한가지로 발생하는 것을 보면, 참으로 답답하기도 하고 씁쓸한 마음뿐입니다.


해외 사이트 중에서 축구에 관련된 유명한 사이트 중의 하나인 Goal.com에서 악성코드를 유포하는 사고가 지난달 27-28일 발생했습니다. 참고로, Goal.com 사이트는 Alexa(인터넷 방문자 측정 및 랭킹 사이트) 기준 379위를 차지할 정도로 트래픽이 많으며 하루에 약 21만-23만 페이지의 방문 기록을 가지고 있습니다.

문제는 공격자가 Goal.com 웹사이트의 컨텐트를 자기 입맛대로 바꿀 수 있었다는 것으로 이를 토대로 보면, 공격자가 서버를 어느정도 장악한 것으로 예상되고 있습니다.

또한, 사용자가 감염될 수 있도록 3개의 도메인으로 된 경유지 링크(pxcz.cz.cc, opofy7puti.cz.cc, justatest.cz.cc)를 삽입하고, 이를 통해 결론적으로 CVE-2010-1423(자바), CVE-2010-1885(MS 도움말 센터 HCP), CVE-2009-0927(PDF), CVE-2006-0003(MS MDAC) 취약점을 이용하는 코드가 포함되어 있습니다.

이러한 취약점은 대부분 사용자가 직접 업데이트를 해야 하는 수고가 따라야 하기 때문에 컴퓨터에 익숙하지 않은 사용자들이 많이 감염될 가능성이 높다고 볼 수 있습니다.


그렇다면 이러한 문제의 원인은 무엇일까 고민해 봐야 할 것입니다.

원인은 바로 웹 소스의 취약점 중의 하나인 SQL Injection으로 짐작되고 있습니다. 자료에 따르면 Mass SQL Injection의 형태를 띠고 있지 않는 것으로 언급되고 있어 공격자가 타겟화된 공격을 벌인 것으로 생각됩니다.

이러한 SQL Injection 취약점은 나온지 약 15년 정도 되는 꽤 오래된 구식의 취약점에도 불구하고 여전히 명성을 떨치고 있습니다.

현대 캐피탈, 소니 PSN 해킹 등등.

언제쯤 이러한 문제의 해결이 이뤄질련지... ...

감사합니다.

자료 출처: http://threatpost.com/en_us/blogs/popular-sports-site-goalcom-serves-malware-050311


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    MySQL 데이터베이스의 공식 홈페이지인 MySQL.com 홈페이지가 SQL 인젝션 취약점을 통해 해킹되어 계정 정보가 누출되는 사고가 발생했습니다. 

    특히 Blind SQL 인젝션 공격은 공격자가 별다른 작업을 수행하지 않아도 자동적으로 공격을 수행하고 그 결과 데이터베이스의 정보까지 빼낼 수 있습니다.

    Vulnerable Target : http://mysql.com/customers/view/index.html?id=1170
    Host IP : 213.136.52.29
    Web Server : Apache/2.2.15 (Fedora)
    Powered-by : PHP/5.2.13
    Injection Type : MySQL Blind
    Current DB : web

    더욱 문제가 되는 것은 이 취약점을 이용하여 빼낸 각종 정보가 인터넷 상에 공개되어 있으며, 간단한 비밀번호를 가진 계정은 해킹되어 있으며, 다른 계정 정보도 해독 프로그램을 이용하여 열심히 풀고 있다는 것입니다.

    Data Bases:    
    
    information_schema
    bk
    certification
    c?ashme
    cust_sync_interim
    customer
    dbasavings
    downloads
    feedback
    glassfish_interface
    intranet
    kaj
    license_customers
    manual
    manual_search
    mem
    mysql
    mysqlforge
    mysqlweb
    news_events
    partner_t?aining
    partners
    partners_bak
    phorum5
    planetmysql
    qa_contribution
    quickpoll
    robin
    rp
    sampo
    sampo_interface
    sessions
    softrax
    softrax_interim
    solutions
    tco
    test
    track
    track_refer
    wb
    web
    web_control
    web_projects
    web_training
    webwiki
    wordpress
    zack
    
    Current DB: web
    
    Tables
    
    xing_validation        
    v_web_submissions      
    userbk 
    user_extra     
    
    user  Columns: cwpid version lead_quality sfid industry address2 created last_modified lang notify newsletter gid title 
    fax cell phone country zipcode state city address business company position lastname firstname passwd verified bounces 
    email user_id
    
    us_zip_state   
    us_area_state  
    unsub_log      
    trials 
    trial_external_log     
    trial_data     
    trial_alias    
    training_redirect      
    tag_blacklist  
    tag_applied    
    tag    
    support_feeds_DROP     
    support_entries_DROP   
    states 
    snapshots_builds       
    snapshots      
    sakilapoints   
    regions        
    quote_customer 
    quote  
    quicklinks     
    promo  
    product_releases       
    position       
    partner        
    paper_lead     
    paper_details_options  
    paper_details_old      
    paper_details  
    paper  
    newsletter_unsub       
    nav_sites      
    nav_items      
    mysql_history  
    mirror_status  
    mirror_country 
    mirror_continent       
    mirror 
    mailing_list_member    
    mailing_list   
    locks  
    lead_validity_rules    
    lead_source_xref       
    lead_source_external   
    lead_source    
    lead_routing_rule      
    lead_rep       
    lead_old       
    lead_note      
    lead_extra_old 
    lead_extra_new 
    lead_extra     
    lead_companies 
    lead_campaign_member   
    lead   
    language_strings       
    language_modules       
    imagecache     
    hall_of_fame   
    g_search_term  
    g_search_data  
    g_blog_data    
    forum_comment  
    forms  
    field_xref     
    field_options  
    field_match    
    email_blacklist        
    email_a_friend 
    drpl_manual_review     
    drpl_denied    
    drpl_check_log 
    drpl_cache     
    customer_meta_sets     
    customer_meta_set      
    customer_meta  
    customer       
    coupon_product 
    coupon_campaign_attribute      
    coupon_campaign        
    coupon 
    country        
    countries      
    campaign_type  
    campaign_topic 
    campaign_score 
    campaign_listdata      
    campaign_detail        
    business       
    bounces        
    
    Database : mysql
    Table:
    
    user_info    
    
    user     Column: Update_pri Insert_priv Select_priv Password User Host
    
    time_zone_transition_type    
    time_zone_transition    
    time_zone_name    
    time_zone_leap_second    
    time_zone    
    tables_priv    
    slow_log    
    ?ervers    
    procs_priv    
    proc    
    plugin    
    ndb_binlog_index    
    inventory    
    host    
    help_topic    
    help_relation    
    help_keyword    
    help_category    
    general_log    
    func    
    event    
    db    
    columns_priv
    
    
    # mysql.user Data
    
    Password                                      User            Host
                                                    wembaster     %
                                                monitor     10.%
                                                sys             %
                                                sys             localhost
    *06581D0A5474DFF4D5DA3CE0CD7702FA52601412     forumread     %
    *0702AEBF8E92A002E95D40247776E1A67CD2CA3F     wb             %
    *2A57F767D29295B3CB8D01C760D9939649483F85     flipper     10.%
    *32F623705BFFFE682E7BD18D5357B38EF8A5BAA9     wordpress     %
    *66A905D4110DF14B41D585FDBCE0666AD13DD8C1     nagios             %
    *704EB56151317F27573BB4DDA98EDF00FFABAAF8     root             localhost
    *ED1BDC19B08FD41017EE180169E5CEB2C77F941A     mysqlforge     %
    *FD75B177FFEC3590FE5D7E8459B3DDC60AE8147B     webleads     10.%
    00680dd718880337                             olof             %
    077f61a849269b62     qa_r     %
    077f61a849269b62     qa_rw     %
    077f61a849269b62     qa_adm     %
    0c2f46ba6b87d4ea     trials_admin     10.%
    1856b9b03b5a6f47     cacti     %
    19519e95545509b5     certification     %
    1a39dcad63bbc7a6     gf_mschiff     %
    2277fd7d562ec459     webslave     localhost
    2277fd7d562ec459     webslave     %
    304404b114b5516c     planetmysql_rw     %
    35e376451a87adb0     planetmysql_ro     %
    4e203d581b756a93     webmaster     localhost
    4e203d581b756a93     webmaster     %
    4e93479179a8ec93     sysadm     %
    575ec47e16c7e20e     phorum5     %
    575ec47e16c7e20e     lenz     %
    5f340ec40a706f64     robin     %
    61113da02d2c97a5     regdata     %
    616075f256f111ba     myadmin     10.100.6.44
    61711eea3de509ac     merlin     127.0.0.1
    6302de0909a369a1     ebraswell     %
    6b72b2824cc7f6fe     mysqlweb     %
    6ffd2b17498cdd44     zack     %
    70599cf351c6f591     repl     %
    740284817e3ed5a8     webwiki     %
    74c5529b41a97cc2     web_projects    
    
    Databsae: web_control
    
    Table:
    system    
    system_command    
    service_request    
    run_control    
    request_daemon    
    rebuild_server    
    rebuild_queue    
    rebuild_control    
    quarterly_lead_report    
    newsletter_log    
    newsletter_control    
    ips    
    hosts  Columns:notes description name
    dns_servers Columns: name internal ip
    
    
    Database: certification
    
    Tables:
    signup    
    corpcustomers    
    certexamdata    
    certcandidatedata    
    certaccess
    
    
    Database: wordpress
    
    Tables:
    
    wp_4_term_taxonom    
    wp_4_term_relationships    
    wp_4_posts    
    wp_4_postmeta    
    wp_4_options    
    wp_4_links    
    wp_4_comments    
    wp_3_terms    
    wp_3_term_taxonomy    
    wp_3_term_relationships    
    wp_3_posts    
    wp_3_postmeta    
    wp_3_options    
    wp_3_links    
    wp_3_comments    
    wp_2_terms    
    wp_2_term_taxonomy    
    wp_2_term_relationships    
    wp_2_posts    
    wp_2_postmeta    
    wp_2_options    
    wp_2_links    
    wp_2_comments    
    wp_1_terms    
    wp_1_term_taxonomy    
    wp_1_term_relationships    
    wp_1_posts    
    wp_1_postmeta    
    wp_1_options    
    wp_1_links    
    wp_1_comments    
    wp_11_terms    
    wp_11_term_taxonomy    
    wp_11_term_relationships    
    wp_11_posts    
    wp_11_postmeta    
    wp_11_options    
    wp_11_links    
    wp_11_comments    
    wp_10_terms    
    wp_10_term_taxonomy    
    wp_10_term_relationships    
    wp_10_posts    
    wp_10_postmeta    
    wp_10_options    
    wp_10_links    
    wp_10_comments    
    remove_queries
    
    
    
    Database: bk
    
    Table:
    wp_backupterm_taxonomy    
    wp_backupterm_relationships    
    wp_backupposts    
    wp_backuppostmeta    
    wp_backupoptions    
    wp_backuplinks    
    wp_backupcomments
    
    
    -----------------------------------------------------------------------------------
    Signed : Jackh4xor ! 
    
    Greetz : rooto, Mr.52, zone-hacker, w4ck1ng
    
    (In)Security


    감사합니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      웹 보안에 관련된 취약점 가운데 가장 문제가 많이 발생하는 것으로는 SQL Injection과 XSS(Cross-Site Scripting) 취약점을 들 수 있습니다.

       
      위 표는 OWASP에서 선정한 웹 취약점 10대 항목으로 그 심각성을 손쉽게 알 수 있습니다.

      이 중에서 XSS 취약점은 로그인한 사용자의 계정 정보(쿠키 등)를 훔치거나 다른 사이트로 착각하게 하여 정보를 훔치는 피싱 공격의 주요한 수단으로 이용됩니다.

      지난 주말에 XSSed.COM에서는 네이버에서 발견된 다수의 XSS 취약점에 대한 정보가 공개되었습니다. 아직 수정되지 않은 것으로 보이며, 빠른 해결이 시급합니다.


      이러한 취약점은 일반적인 방화벽이나 웹방화벽(WAF) 등으로 막기에는 한계가 있으며 근본적인 해결책은 소스를 수정하는 것으로 개발 시점부터 이러한 문제점을 고려하는 것이 좋습니다.

      출처: http://xssed.com/search?key=naver

      감사합니다.






      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        지난 주말, 9월 25일부터 26일까지 인터넷 서점 중 하나인 알라딘에서 악성코드를 유포하는 악성 스크립트가 메인 사이트에 삽입된 사건이 있었습니다. 해당 사이트에서는 (얼마나 빨리 대처했는지는 모르지만) 빠른 대응을 통해 악성코드를 제거하고 모니터링을 강화하고 있다고 자사 홈페이지에서 공지로 알리고 있습니다다.

        아래 코드는 어베스트! 안티바이러스 제품에서 알라딘 홈페이지에서 진단한 스크립트의 URL 및 진단 이름입니다. URL의 일부분은 안전을 위해 변경했습니다.

        2010-09-26 오후 1:11:23    http://218.237.66.1xx/End.asp [L] JS:Downloader-RN [Trj] (0)
        2010-09-26 오후 4:45:40    http://210.116.104.xx/l.asp [L] JS:Downloader-RN [Trj] (0)

        그런데, 알라딘 웹사이트에서만 이러한 문제점이 나타난다고 볼 수 있을까요?

        네이버에서 보안에 관련된 유명한 카페 중의 하나인 바제2(바이러스제로 시즌2)에서 악성코드 유포 신고 라는 게시판을 살펴 보면, 거의 매일 유명한(누구나 한번 정도 들어 봄직한) 사이트들이 언급되곤 합니다. 몇 페이지 넘겨가면서 보다 보면, 아! 이것도 '단골'이 있구나 하는 생각이 들기도 합니다.

        게다가,여기 이외에도 발견되는 공격 패턴(예. 스크립트의 URL 경로)을 구글을 이용하여 검색해 보면 다양한 결과를 볼 수도 있습니다.


        실제로 국내 웹사이트의 보안에 대해서는 아무도 선듯 얘기하지 못하는 것이 사실입니다. 잘못 벙긋~ 했다가는 아마도 명예훼손, 업무방해, 해킹 등의 이유로 인해 법정을 왔다갔다할 수 있다는 우려 때문입니다.

        외국의 경우에는 이러한 부분에 대해서는 더 관대(이 용어가 적절한지는 의문이지만)하다고 볼 수 있습니다. 아래는 필자가 외국 웹사이트에서 웹 관련 취약점을 찾아 블로그에 공개한 링크입니다.

        BBC 뉴스: http://moonslab.com/1040 (SQL Injection 취약점)
        애플 아이튠즈: http://moonslab.com/1064 (XSS 취약점)
        마이크로소프트: http://moonslab.com/1089 (XSS 취약점)
        LA 타임즈: http://moonslab.com/1117 (XSS 취약점)

        물론 이렇게 공개는 하지만, 스크립트 키드들이 사용할 수 없도록 일부 정보를 숨기고 있습니다. 아마도 해당 개발자들은 스크린샷에 있는 항목이나 메뉴만 보더라도 문제점을 충분히 유추하여 해결할 수 있을 것으로 보입니다.

        하여튼, 이러한 예로 볼 때, 국내에서 보안에 대한 경각심이나 보안을 강화하고자 하는 노력을 위해서는 보안을 바라보는 시선부터 바꿔야 할 것입니다.

        감사합니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          OWASP Top 10은 웹 애플리케이션을 운영할 때에 발생할 수 있는 웹 취약점을 중요성, 전파성, 유행성 등을 기준으로 정리한 문서입니다.

          이미 지난 해에 RC1이 발표되었으며, 지난 4월 19일에 정식으로 발표되었습니다.

          OWASP top 10 2010 RC1 - http://moonslab.com/770

          RC1 버전에 비해 정식 버전에서 새롭게 추가되거나 변경된 취약점은 없습니다만, A7-A10 까지 순위가 일부 변경되었습니다.

          출처: http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

          OWASP top 10 2010(PDF 영문) 다운로드: http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf


          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            웹에 관련되어 다양한 공격에 대한 소식이 알려지고 있는 가운데, 최근에 이베이(eBay)에서 새로운 취약점이 발견되어 이를 수정하고 있다는 소식을 전해 드립니다.

            Avnet 정보 보안 컨설팅 사에 근무하는 직원이 eWEEK 지의 Nir Goldshlager에게 전한 소식에 따르면 이베이에 CSRF(Cross-Site Request Forgery) 취약점이 발견되었다고 합니다. 이 취약점은 이베이의 실시간 기술 지원 페이지 와 eBay to Go 링크에서 발견되었습니다. 게다가 기부 페이지에서는 블라인드 SQL 인젝션 취약점도 발견되었습니다.


            일단 블라인드 SQL 인젝션은 현재 해결된 상태이지만 CSRF는 아직 패치하기 전이며 위와 같은 창이 대신 나타납니다.

            출처: http://www.eweek.com/c/a/Security/Researcher-Uncovers-eBay-Security-Vulnerabilities-684970/

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus


              Web Analytics Blogs Directory