웹 해킹 공격에서 자주 언급되는 사항이 Injection 류라고 볼 수 있지만, RF(Request Forgery) 또한 다양한 형태로 나타나고 있습니다. 대표적인 예가 CSRF(Cross-site Request Forgery)를 들 수 있습니다.

 

SSRF(Server-side Request Forgery)는 CSRF와 유사한 형태이지만 클라이언트가 아닌 서버를 직접 호출한다는 점에서 남다른 의미가 있습니다.

 

 

즉, 인터넷에서 내부에 위치한 서버등을 접속할 때 방화벽과 같은 보안 장비를 우회하고 침입하여 내부의 중요한 리소스에 접근할 수 있다는 가능성을 내포하고 있습니다.

 

예전부터 연구 대상이었지만, 취약점이 인트라넷이나 그런 쪽이 아닌 웹서버 자체에 대한 취약점을 이용하기 때문에 그리 주목받지는 못했습니다.

 

올해 블랙햇 USA 2017에서 SSRF에 대한 새로운 기법이 소개되었는데, 자세한 사항은 아래 동영상을 참고하십시오.

 

각설하고, 지금 소개하는 자료는 SSRF를 통해 실제적으로 내부 인트라넷에 접근하는 방법에 대해 기술적 자료입니다.

 

요약: 이 문서는 SSRF 검증, 인트라넷 호스트/포트 스캐닝, 지원하는 프로토콜 검증, 자동 공격 등에 대한 전반적인 프로세스를 담고 있습니다. 또한, SSRF를 프로시로 사용하여 W3af, sqlmap, Burpsuite와 같은 공격도구로 활용하는 방법도 소개합니다.

 

 

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    인기있는 리눅스 배포판 중의 하나인 SUSE에서 다양한 취약점을 해결하는 배포판이 발표되어 간단히 소개합니다.

    특히, 웹 공격 취약점 중의 하나인 SQL Injection, CSRF 등이 포함되어 있으므로 해당 문제점에 대한 충분한 검토 및 업데이트가 필요합니다.

           발표일:                   Mon, 02 Aug 2010 15:00:00 +0000
           취약점 참조목록:CVE-2009-2625, CVE-2009-2663, CVE-2009-3560
                                    CVE-2009-3700, CVE-2009-3720, CVE-2009-3826
                                    CVE-2009-4270, CVE-2010-0211, CVE-2010-0212
                                    CVE-2010-0395, CVE-2010-0438, CVE-2010-0547
                                    CVE-2010-0653, CVE-2010-0731, CVE-2010-0733
                                    CVE-2010-0787, CVE-2010-0926, CVE-2010-1166
                                    CVE-2010-1169, CVE-2010-1170, CVE-2010-1321
                                    CVE-2010-1325, CVE-2010-1411, CVE-2010-1459
                                    CVE-2010-1507, CVE-2010-1512, CVE-2010-1628
                                    CVE-2010-1639, CVE-2010-1640, CVE-2010-1869
                                    CVE-2010-1975, CVE-2010-1993, CVE-2010-2023
                                    CVE-2010-2024, CVE-2010-2055, CVE-2010-2059
                                    CVE-2010-2063, CVE-2010-2067, CVE-2010-2074
                                    CVE-2010-2077, CVE-2010-2228, CVE-2010-2229
                                    CVE-2010-2230, CVE-2010-2231, CVE-2010-2251
                                    CVE-2010-2451, CVE-2010-2452, CVE-2010-2480
                                    CVE-2010-2494, CVE-2010-2532, CVE-2010-2713
                                    CVE-2010-2785
        해결된 보안 취약점 목록
                - OpenOffice_org
                - apache2-slms
                - aria2
                - bogofilter
                - cifs-mount/samba
                - clamav
                - exim
                - ghostscript-devel
                - gnutls
                - krb5
                - kvirc
                - lftp
                - libpython2_6-1_0
                - libtiff
                - libvorbis
                - lxsession
                - mono-addon-bytefx-data-mysql/bytefx-data-mysql
                - moodle
                - openldap2
                - opera
                - otrs
                - popt
                - postgresql
                - python-mako
                - squidGuard
                - vte
                - w3m
                - xmlrpc-c
                - XFree86/xorg-x11
                - yast2-webclient
           
    세부 사항:
       To avoid flooding mailing lists with SUSE Security Announcements for minor
       issues, SUSE Security releases weekly summary reports for the low profile
       vulnerability fixes. The SUSE Security Summary Reports do not list or
       download URLs like the SUSE Security Announcements that are released for
       more severe vulnerabilities.
       Fixed packages for the following incidents are already available on our FTP
       server and via the YaST Online Update.
       - OpenOffice_org
         This update of OpenOffice_org does not allow macros written in Python to
         be executed without permission, CVE-2010-0395.
         This also provides the maintenance update to OpenOffice.org-3.2.1.
         Details about all upstream changes can be found at
         http://development.openoffice.org/releases/3.2.1.html
         Affected Products: SLE10-SP3, SLE11, openSUSE 11.0, 11.1, 11.2
       - apache2-slms
         Insufficient quoting of parameters in SLMS could allow for
         cross-site-request-forgery (CSRF) attacks (CVE-2010-1325).
         Affected Products: SLE11
       - aria2
         This aria2 update to 1.9.3 fixes a metalink name Directory Traversal
         issue (CVE-2010-1512).
         Affected Products: openSUSE 11.2
        
       - bogofilter
         This update of bogofilter/bogolexer fixes a heap based buffer underflow
         vulnerability which could be exploited to cause a denial of service or
         potentially execute arbitrary code (CVE-2010-2494).
         Affected Products: SLE11, openSUSE 11.0, 11.1, 11.2
       - cifs-mount/samba
         This update of the Samba server package fixes security issues and bugs.
         Following security issues were fixed:
         - CVE-2010-2063: A buffer overrun was possible in chain_reply code in
                          3.3.x and below, which could be used to crash the
                          samba server or potentially execute code.
         - CVE-2010-0787: Take extra care that a mount point of mount.cifs is
                          not changed during mount.
         - CVE-2010-0926: With enabled "wide links" samba follows symbolic links
                          on the server side, therefore allowing clients to
                          overwrite arbitrary files. This update changes the
                          default setting to have "wide links" disabled by default.
                          The new default only works if "wide links" is not set
                          explicitly in smb.conf.
         - CVE-2010-0547: Due to a race condition in mount.cifs a local attacker
                          could corrupt /etc/mtab if mount.cifs is installed setuid
                          root. mount.cifs is not setuid root by default and it is
                          not recommended to change that.
         Affected Products: SLES9, SLE10-SP3, SLE11, openSUSE 11.0, 11.1
       - clamav
         This update fixes a off-by-one buffer overflow (CVE-2010-1640) and a
         crash while parsing PDFs (CVE-2010-1639, CVE-2010-2077) in clamav
         that can be used as a remote denial of service attack.
         Affected Products: SLES9, SLE10-SP3, SLE11, openSUSE 11.0, 11.1, 11.2
       - exim
         Two local vulnerabilities have been fixed in the exim MTA
         which allowed attackers to create arbitrary files or
         to change ownership of arbitrary files. CVE-2010-2023 and
         CVE-2010-2024 have been assigned to these issues.
         Affected Products: openSUSE 11.1, 11.2, 11.3
       - ghostscript
         Specially crafted postscript (.ps) files could cause buffer
         overflows in ghostscript that could potentially be exploited to
         execute arbitrary code (CVE-2010-1628, CVE-2010-1869, CVE-2009-4270)
         Additionally ghostscript, by default, reads some initialization files from
         the current working directory. Local attackers could potentially exploit
         that to have other users execute arbitrary commands by placing such
         files e.g. in /tmp (CVE-2010-2055).
         Affected Products: SLE11, openSUSE 11.0, 11.1, 11.2, 11.3
       - gnutls
         The ASN.1 parser for X.509 certificates used a wrong integer type for
         extracting a certficiate's serial number. On 64bit big-endian
         architectures this could result in bypassing CRL checks (CVE-2010-0731).
         Affected Products: SLES9
       - krb5
         This update fixes a denial-of-service vulnerability in kadmind. A
         remote attack can send a malformed GSS-API token that triggers a
         NULL pointer dereference.
         (CVE-2010-1321: CVSS v2 Base Score: 6.8 (MEDIUM) (AV:N/AC:L/Au:S/C:N/I:N/A:C))
         Affected Products: SLE10-SP3, SLE11, openSUSE 11.0, 11.1, 11.2
       - kvirc
         This update of KVirc fixes a remotely exploitable format string and
         directory traversal vulnerability (CVE-2010-2451, CVE-2010-2452).
         Additionally KVirc does not further allow remote client to send
         arbitrary CTCP commands. (CVE-2010-2785)
         Affected Products: openSUSE 11.1, 11.2, 11.3
       - lftp
         This update of lftp improves the filename handling of downloaded files
         to avoid downloading arbitrary content to unexpected locations (like
         .login). (CVE-2010-2251)
         Affected Products: openSUSE 11.0, 11.1, 11.2
       - libpython2_6-1_0
         This update of python has a copy of libxmlrpc that is vulnerable to
         denial of service bugs that can occur while processing malformed XML
         input.
         - CVE-2009-2625: CVSS v2 Base Score: 5.0: Permissions, Privileges,
                          and Access Control (CWE-264)
         - CVE-2009-3720: CVSS v2 Base Score: 5.0: Insufficient Information
         - CVE-2009-3560: CVSS v2 Base Score: 5.0: Buffer Errors (CWE-119)
         Affected Products: SLES9, SLE10-SP3, SLE11, openSUSE 11.0, 11.1, 11.2
       - libtiff
         This update of libtiff fixes several integer overflows that could lead
         to a corrupted heap memory. This bug can be exploited remotely with a
         crafted TIFF file to cause an application crash or probably to execute
         arbitrary code. (CVE-2010-1411)
         Affected Products: SLES9, SLE10-SP3, openSUSE 11.0, 11.1, 11.2
       - libvorbis
         This update of libvorbis fixes a memory corruption while parsing OGG
         files. This bug was exploitable by remote attackers to cause an
         application crash and could probably be exploited to execute arbitrary
         code.
         CVE-2009-2663: CVSS v2 Base Score: 6.8: Resource Management Errors (CWE-399)
         Affected Products: SLES9, SLE10-SP3, SLE11, openSUSE 11.0, 11.1, 11.2
       - lxsession
         lxsession-logout did not properly lock the screen before suspending,
         hibernating and switching between users which could allow attackers with
         physical access to take control of the system to obtain sensitive infor-
         mation and / or execute arbitrary code in the context of the user who is
         currently logged in (CVE-2010-2532).
         Affected Products: openSUSE 11.3
       - mono-addon-bytefx-data-mysql/bytefx-data-mysql
         Mono's ASP.NET implementation did not set the 'EnableViewStateMac'
         property by default. Attackers could exploit that to conduct cross-
         site-scripting (XSS) attacks. (CVE-2010-1459)
         Affected Products: SLE10-SP2, SLE11, openSUSE 11.0, 11.1, 11.2
       - moodle
         Moodle was prone to several Cross-Site Scripting (XSS) vulnerabilities
         (CVE-2010-2228, CVE-2010-2229, CVE-2010-2230, CVE-2010-2231).
         Affected Products: openSUSE 11.0, 11.1
       - openldap2
         Specially crafted MODRDN operations can crash the OpenLDAP server.
         (CVE-2010-0211 and CVE-2010-0212)
         Affected Products: openSUSE 11.0
       - opera
         Opera was upgraded to the 10.60 release.
         - CVE-2010-0653: Opera permits cross-origin loading of CSS style sheets
                          even when the style sheet download has an incorrect
                          MIME type and the style sheet document is malformed,
                          which allows remote HTTP servers to obtain sensitive
                          information via a crafted document.
         - CVE-2010-1993: Opera 9.52 does not properly handle an IFRAME element
                          with a mailto: URL in its SRC attribute, which allows
                          remote attackers to cause a denial of service (resource
                          consumption) via an HTML document with many IFRAME
                          elements.
         Affected Products: openSUSE 11.0, 11.1, 11.2, 11.3
       - otrs
         OTRS was prone to multiple SQL-injection vulnerabilities which could
         allow remote authenticated attackers to execute arbitrary SQL code via
         unspecified vectors. (CVE-2010-0438)
         Affected Products: openSUSE 11.0, 11.1, 11.2
       - popt
         This update fixes the problem where RPM misses to clear the SUID/SGID
         bit of old files during package updates. (CVE-2010-2059)
         Affected Products: openSUSE 11.0
       - postgresql
         This update of postgresql was pblished to fix several minor security
         vulnerabilities:
         - CVE-2010-1975: postgresql does not properly check privileges during
                          certain RESET ALL operations, which allows remote
                          authenticated users to remove arbitrary parameter
                          settings.
         - CVE-2010-1170: The PL/Tcl implementation in postgresql loads Tcl
                          code from the pltcl_modules table regardless of the
                          table's ownership and permissions, which allows remote
                          authenticated users, with database-creation privileges,
                          to execute arbitrary Tcl code.
         - CVE-2010-1169: Postgresql does not properly restrict PL/perl procedures,
                          which allows remote authenticated users, with database-
                          creation privileges, to execute arbitrary Perl code via
                          a crafted script.
         - CVE-2010-0733: An integer overflow in postgresql allows remote authen-
                          ticated users to crash the daemon via a SELECT statement.
         Affected Products: SLE10-SP3, SLE11, openSUSE 11.0, 11.1, 11.2
       - python-mako
         Python-mako was prone to a Cross-Site Scripting flaw due to improperly
         escaped single quotes (CVE-2010-2480).
         Affected Products: openSUSE 11.2, 11.3
       - squidGuard
         Two buffer overflows in squidGard were fixed:
         - CVE-2009-3700: Buffer overflow in sgLog.c in squidGuard 1.3 and 1.4
                          allows remote attackers to cause a denial of service
                          (application hang or loss of blocking functionality)
                          via a long URL with many / (slash) characters, related
                          to "emergency mode."
         - CVE-2009-3826: Multiple buffer overflows in squidGuard 1.4 allow remote
                          attackers to bypass intended URL blocking via a long URL,
                          related to (1) the relationship between a certain buffer
                          size in squidGuard and a certain buffer size in Squid and
                          (2) a redirect URL that contains information about the
                          originally requested URL.
         Affected Products: openSUSE 11.1, 11.2, 11.3
       - vte
         VTE was vulnerable to an old title set+query attack which could be used
         by remote attackers to execute arbitrary code (CVE-2010-2713).
         Affected Products: openSUSE 11.2, 11.3
       - w3m
         w3m did not handle embedded nul characters in the common name and in
         subject alternative names of x509 certificates.
         CVE-2010-2074 has been assigned to this issue.
         This update also turns on verification of x509 certificates by default
         which was not the case before.
         Affected Products: SLE10-SP3, SLE11, openSUSE 11.0, 11.1, 11.2
       - xmlrpc-c
         This update of libxmlrpc is not vulnerable to denial of service bugs
         that can occur while processing malformed XML input.
         - CVE-2009-2625: CVSS v2 Base Score: 5.0: Permissions, Privileges,
                          and Access Control (CWE-264)
         - CVE-2009-3720: CVSS v2 Base Score: 5.0: Insufficient Information
         - CVE-2009-3560: CVSS v2 Base Score: 5.0: Buffer Errors (CWE-119)
         Affected Products: SLES9, SLE11
       - XFree86/xorg-x11
         X clients could cause a memory corruption in the X Render extension
         which crashes the X server (CVE-2010-1166).
         Affected Products: SLES9, SLE10-SP3
       - yast2-webclient
         WebYaST generates the secret key used to create session cookies
         after package installation. Since WebYaST appliances use
         pre-installed images all such instances end up using the same secret
         key (CVE-2010-1507).
     


    출처: http://lwn.net/Articles/398464/
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      웹에 관련되어 다양한 공격에 대한 소식이 알려지고 있는 가운데, 최근에 이베이(eBay)에서 새로운 취약점이 발견되어 이를 수정하고 있다는 소식을 전해 드립니다.

      Avnet 정보 보안 컨설팅 사에 근무하는 직원이 eWEEK 지의 Nir Goldshlager에게 전한 소식에 따르면 이베이에 CSRF(Cross-Site Request Forgery) 취약점이 발견되었다고 합니다. 이 취약점은 이베이의 실시간 기술 지원 페이지 와 eBay to Go 링크에서 발견되었습니다. 게다가 기부 페이지에서는 블라인드 SQL 인젝션 취약점도 발견되었습니다.


      일단 블라인드 SQL 인젝션은 현재 해결된 상태이지만 CSRF는 아직 패치하기 전이며 위와 같은 창이 대신 나타납니다.

      출처: http://www.eweek.com/c/a/Security/Researcher-Uncovers-eBay-Security-Vulnerabilities-684970/

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        요약: 2009년 상반기 웹 침해 사고에 대한 분석 자료가 발표되었습니다. 올해에는 주로 Web 2.0 사이트들이 해커들의 주요 목표가 되고 있습니다. 하지만, 기업들은 웹 공격에 대한 로그 분석조차 어려울 정도로 적절한 보안 대책을 강구하지 못하고 있으며, 특히 서버의 대한 공격이 아닌 사용자 단에서 공격이 이루어지고 마지막으로 공격의 방법이나 침투 수단이 보다 다각화되고 있습니다.

        매년 보안 사고에 대한 다양한 자료가 발표되고 있는 가운데, 올해 상반기에 벌어진 보안 사고 중에 특히 웹 애플리케이션에 대한 보안 침해 사고 보고서가 발표되었습니다.

        WHID(Web Hacking Incedents Database)가 바로 그것인데, Breach Security Labs에서 주관합니다. 주요 목적은 웹 해킹 사고에 대한 인식 제고와 더불어 웹 해킹 보안 사고의 통계적인 정보를 제공하기 위함입니다.  

        다만 WHID에서 분석하는 보안 사고는 극히 제한적이어서 2007년도에는 49건, 2008년도에는 57건, 그리고 2009년도 상반기에는 모두 44건을 분석하였습니다. 따라서 분석 결과는 절대적인 숫자에 연연하지 않고 상대적인 분석에 기초하고 있습니다.

        참고로, 버그트랙, 시큐니아 등에서는 보안 사고 및 취약점에 대한 방대한 데이터베이스를 제공하여 이에 대한 발생 순위 등의 다각적인 정보를 제공합니다.

         WHID에서 분석한 자료에 따르면 2009년도 상반기의 웹 해킹 경향은 다음과 같습니다.
        • 보안 사고의 19%에 이를 정도로, 웹 2.0 사이트에 대한 공격에 급격하게 증가했습니다.
        • 기업은 웹 애플리케이션의 로그를 분석할 만한 충분한 능력을 갖추지 못하고 있으며 또한 공격에 대해 적절히 대응할 수 있는 관리 체계 또한 마찬가지입니다.
        • 공격의 형태가 웹 2.0의 주요한 특징인 사용자가 게시(배포)하는 컨텐트를 이용하고 있습니다. 웹 사이트의 인증을 뚫고 들어가는 공격은 2번째 순위를 차지합니다.
        • 속이는 수단으로는 웹사이트 변조와 같은 일반적인 공격 형태와 함께 악성 코드를 배포하는 등 다각화되고 있습니다.

        1. 분석 대상 국가 별 비율

          아래 그림은 WHID에서 분석한 보안 침해 사고의 발생 국가에 대한 비율입니다. 특성상 영어를 주로 사용하는 국가의 사고만을 제한적으로 분석했습니다.


        2. 웹 해킹의 주요 목적

        웹 해킹의 주요 목적은 웹사이트 변조와 악성코드 배포가 1위를 차지하고 있으며, 그 뒤를 기밀/개인정보 누출이 차지하고 있습니다.

        즉, 컴퓨터에 적절한 보안이 강구되지 않은 인터넷 사용자가 침해당한 사이트를 방문하는 동안에 사이트에서 악성 코드를 내려받아 컴퓨터에 설치되거나, 해커의 장난감 격인 봇으로 전락하는 예가 대표적입니다.


        3. 해커의 주요 공격 경로

          일반적으로 Cross Site Scripting(XSS)가 주요한 공격 방법으로 알려지고 있습니다. 참고로, XSS 공격은 OWASP의 수위를 차지하고 있습니다.

        하지만, 실제 해커들의 공격 수단은 SQL 인젝션 공격(19%)로 1위를 차지하고 있습니다.


        SQL Injection 공격의 유형 또한 변화하고 있습니다. 

        • 사용자 인증이 반드시 필요한 웹 사이트가 아니라 로그인을 하지 않고도 사용이 가능한 웹 2.0 환경의 웹 사이트를 주로 대상으로 하고 있습니다. 
        • 자동화된 공격 도구를 사용하여 보안이 취약한 사이트를 무차별적으로 공격합니다. 이러한 형태는 작년 8-10월 경에 국내외에 유행했으며, 올해 8월 하순 경에는 국내가 아닌 국외 특정 국가를 대상으로 하는 MASS SQL 인젝션 공격이 있었습니다.(주: 이에 대한 자료는 http://moonslab.com/735 을 참고하십시오)
        • CSRF(Cross-Site Reqeust Forgery) 공격이 트위터와 같은 SNS 네트워크를 통해 웜을 배포하는 수단으로 떠오르고 있습니다. 일례로 지난 4월 달에 웜 코드가 트윗(트위터의 글)로 배포되어 한바탕 소동이 있은 적이 있습니다.
        • 공격 경로를 알 수 없는 공격의 비율이 증가하고 있습니다. 이는 웹 트래픽을 볼 수 있는 즉 로그를 분석하는 방법을 기업에서 적절하게 보유하고 있지 못한 원인과 해킹 사실을 숨기는 기업의 행태에 기인합니다.

        4. 공격 대상

         해커들이 공격의 목표로 삼는 조직은 웹 2.0 사이트를 운영하는 SNS 기업이 1위를 차지하였습니다. 작년에 1위를 차지했던 공공/국가 기관은 순위가 4위로 내려갔습니다. 또한, 상업, 기술, 인터넷 등의 조직들도 꽤 높은 비율을 차지합니다.



        5. 마무리 지으면서

        전문가들은 CSRF와 같은 고급 해킹 기술에 대해 강조하지만, 실제 인터넷 상에서 벌어지는 해킹은 SQL 인젝션, 기밀 누출과 같은 기초적인 취약점을 목표로 하고 있습니다. 또한 보다 효율적인 공격을 위해 자동화 툴을 개발하여 사용하고 있으며, 이를 바탕으로 트위터와 같은 SNS 사이트에 대한 XSS/CRSF 공격이 늘어나고 있습니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory