SQL Injection 취약점을 통해 웹서비스 서버의 권한 장악, 악성코드 유포, 내부 시스템 침입, DB 유출 등, 많은 문제점을 가지고 있는 치명적인 웹 취약점으로 XSS와 더불어 가장 많이 회자되는 취약점입니다.


SQLi 공격은 1998년도에 최초로 발견됐다고 알려져 있지만, 현재에도 여전히 진행형 Still 인 문제점입니다.



reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    루마니아 계의 그레이 해커인 TinKode는 미군 사이트 중 하나인 AHOS(Army Housing OneStep, 미군에게 주택에 관련된 정보를 제공하는 사이트)에서 SQL 인젝션 취약점이 있다는 사실을 자신의 블로그에 공개했습니다.

    TinKode는 onestop.army.mil 사이트에 SQL 인젝션 공격의 취약점이 있다는 사실과 해당 서버의 자세한 정보(윈도우 2003 서비스팩 2, MS SQL 2000 데이터베이스)를 공개했습니다. 서버에는 총 76개의 데이터베이스가 있다고 밝혔지만, 이 해커는 "AHOS"라고 하는 데이터베이스에 대해 집중적으로 설명했습니다. 이에 대한 자세한 사항은 아래 자료를 참고하시기 바랍니다.

    아울러, 현재 해당 사이트는 오프라인으로 운영이 중지된 상태입니다.

    참고로, TinKode는 트위터를 통해, 해킹이 가능한 사이트에 대한 정보를 공개합니다.


    감사합니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      지난 12월 초, 대규모 SQL 인젝션 공격이 진행되어 약 12만 5천대 이상의 웹서버가 감염되었다는 주장이 제기되었습니다.

        대규모 SQL 인젝션 공격(Mass SQL Injection Attack)이란 "봇넷이나 전문 스캐너 프로그램을 이용하여 무차별적으로 웹사이트를 공격하여 취약한 사이트를 찾아 내어 데이터베이스 등의 데이터를 조작하는 일련의 공격 행위"를 말합니다.
        국내에서는 지난 해 9월부터 10월까지 수십여만 개의 웹 사이트를 해킹당한 바가 있으며 올해에도 여러 번의 공격이 보고되었으나, 국내의 피해가 아주 심하지 않아(!) 언론에 알려지지 않았습니다.

      최근에 발생한 공격은 318x.com 사이트에서 악성 프로그램을 다운로드하는 iFrame 형태로, 구글 검색 결과 약 12만 5천 개 이상 감염되었습니다. iFrame의 공격은 다른 웹페이지로 리디렉트(Redirect)하게 되며 사용자는 이러한 사실을 알아내기 어렵습니다. 

      공격이 진행된 상황은 다음과 같습니다.

      1. 사용자가 조작된 웹 페이지에 방문할 때에 318x.com/a.htm을 방문하도록 iframe으로 만들어진 스크립트가 자동으로 실행됩니다. a.htm 파일에는 두 가지 기능이 숨겨져 있습니다.
      • aa1100.2288.org/htmlasp/dasp/alt.html 에서 두 번째 iframe 코드 로드
      • jt.tongji.linezing.com/1358779/tongji.js 스크립트 로드(추적 목적)


      2. aa1100.2288.org/htmlasp/dasp/alt.html에 포함된 iframe의 기능은 다음과 같습니다.

      • aa1100.2288.org/htmlasp/dasp/share.html로 유도하는 세번째 iFrame 코드 생성
      • js.tongji.inezing.com/1364067/tongji.js 스크립트 로드(위의 스크립트 코드와 다름)
      • img.tongji.linezing.com/1364067/tongji.gif 이미지가 www.linezing.com를 가리키도록 <noscript> 코드 실행

      3. share.html은 공격을 염두로 둔 마스터 파일로 동작합니다. 다수의 스크립트 파일이 포함되어 있으며 사용자의 브라우저, 플래시의 버전 등의 기준에 따라 여러 개의 iFrame 코드들이 구성되어 있습니다.


      문제는 아직까지 이 공격의 목표 또는 직접적인 피해가 나타나고 있지 않습니다. 보안 업계에 따르면 마지막 공격 시점에 사용된 악성 코드에 관련된 스크립트를 모니터링한 결과 일부 코드가 변경되거나 삭제되고, 새로운 스크립트가 추가되고 있다고 합니다. 대부분의 파일은 .jpg 확장자로 위장되어 있지만 스크립트의 경우에는 .js 확장자를 가집니다.

      전체적인 공격 형태가 알려지지는 않았지만, 아래와 같이 같이 PDF 취약점을 이용하는 것으로 다수로 나타났습니다.

      • Integer overflow vulnerability in Adobe Flash Player, described in CVE-2007-0071
      • MDAC ADODB.Connection ActiveX vulnerability described in MS07-009
      • Microsoft Office Web Components vulnerabilities described in MS09-043
      • Microsoft video ActiveX vulnerability described in MS09-032
      • Internet Explorer Uninitialized Memory Corruption Vulnerability – MS09-002


      다음과 같이 PDF 취약점을 이용하는 것으로 나타났습니다.
      이러한 일련의 공격이 성공적으로 이후어진 후에는 Backdoor.win32.Buzus.croo라는 파일을 windowssp.7766.org 사이트에서 비밀리에 다운로드하여 설치합니다. 악성 코드가 설치디면 다음과 같이 루트킷의 형태로 동작하는 파일을 컴퓨터에 설치합니다. 

      • %UserProfile%\ammxv.drv
      • %ProgramFiles%\Common Files\Syesm.exe


      또한, 악성 코드는 컴퓨터에서 시작할 때마다 자동으로 실행되도록 하기 위해 아래와 같이 레지스트리를 변경합니다.

          HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller
          HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller\Security
          HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller
          HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller\Security

      Backdoor.Win32.Buzus.croo는 121.14.13.136.5:80에 연결을 시도하고 hxxp://dns.winsdown.com/cn/Countdown/count.asp 로 POST 요청을 전송합니다.

      악성 코드는 IRC를 이용하여 원격을 관리하는 형태이며 공격의 목표는 신용카드와 같은 금융 정보를 빼내는 것입니다.

      지난해 9월 이후로 발생하는 대규모 SQL 인젝션 공격은 이제 일반화된 형태로 나타나고 있습니다. 이를 차단하는 방법은 사용자의 입장에서는 보안 패치와 바이러스 백신과 같은 보안 제품을 사용하는 것이며, 웹 관리자의 입장에서는 SQL 인젝션 공격의 원인인 취약점을 해결하는 것입니다. 물론 웹 관리자가 해결한다면 사용자까지 공격이 올 수 없게 되므로 웹 관리자의 주의가 매우 필요합니다.

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        시만텍이 운영하는 사이트에서 Blind SQL 인젝션 공격으로 인해 기업상 중요한 기밀 정보를 누출당할 가능성이 높다고 알려지고 있습니다.

        블로그에서 자주 소개한 루마니아 해커인 Unu는 Pangolin과 Sqlmap 프로그램을 이용하여 시만텍 일본 웹사이트의 내부에 있는 데이터베이스를 엿본 것으로 알려져 있습니다. 이 해커는 구매 기록, 제품 키와 같이 일본에서 판매되는 제품 및 고객의 정보가 포함되어 있습니다.

        Unu는 데이터베이스 및 파일 시스템에 대한 모든 권한을 장악했었다고 주장했으며 시만텍은 이를 분석하고 있는 것으로 알려져 있습니다. 시만텍은 취약점이 있는 사이트는 으로 이 사이트에는 극동지역의 고객 정보를 포함하고 있으며, 현재에는 추가적인 보안을 강구하기 위해 잠시 내려진 상태입니다.

        이 웹사이트는 대한민국과 일본에서 판매되는 노턴(Norton) 브랜드의 고객을 지원하는 사이트로 그 외의 지역에 위치한 사용자들에게는 영향을 미치지 않습니다.

        사고의 여파로 인해 대한민국/일본의 고객 지원에 영향을 미치며, 노턴 제품의 안정성이나 사용에 영향을 미치지는 않습니다.

        시만텍은 보안 대책을 강구하기 위해 웹사이트를 개편하고 있으며 가능한 빨리 다시 열 예정이라고 합니다. 항상 하는 말이지만 시만텍은 사고를 아직까지도 조사중에 있으며 현재로서는 알려줄 세부적인 추가사항이 없다고 합니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          최근 몇달동안 제가 글을 쓰는 주요한 의제는 바로 보안 중 웹 보안에 대한 부분입니다. 각종 침해사고부터 방법론까지, 하지만, 글을 써도 그렇게 쉽게 고치거나 하는 등의 대응이 부족합니다.

          오늘 다시 소개하려는 소식 또한 봇넷에 대한 것입니다. 봇넷은 보안이 약한 사용자의 컴퓨터에 은밀한 프로그램을 설치하여 동작하게 하여 나중에 이를 원격에서 조종하는 방법을 수십 아니 수천 대 이상의 컴퓨터를 아울르는 네트워크 체계를 의미합니다.

          이러한 봇넷을 만드는데 가장 효과적인 방법은 보안의 취약한 웹 서버(데이터베이스 서버)를 공격하여 침해 코드를 서버에 넣어 두고, 이를 방문하는 사용자는 자신도 모르게 봇넷의 일원이 되게 하는 SQL 인젝션 공격입니다.

          지난 5월과 6월 경에는 Asprox라는 이름을 가진 봇넷이 구축된 것으로 알려지고 있습니다. 약 천여 대이상의 웹 서버들이 이용당했으며 이를 통해 수십 만개 이상의 웹페이지가 감염된 것으로 알려졌습니다. 하지만, 재미있는 사실은 봇넷이 구축된 이래로 아무런 활동을 벌이지 않고 있다는 점입니다.

          하지만, 며칠 전인 9월 30일에 드디어 Asprox 봇넷이 활동을 시작했다고 합니다. 국내에서는 공격에 대한 피해가 전무해서 그런지 이에 대한 어떠한 자료도 나오지 않은 상태입니다.

          Asprox는 취약한 ASP 웹서버를 공격하여 여기에 코드를 삽입하는 즉, SQL 인젝션 공격을 수행한 아주 전형적인 수법이 사용되었습니다.

          삽입된 코드는 "ads-t.ru" 도메인이며, 실제 스크립트는 "ads-t.r/ads.js"입니다. 실제로 구글에서 해당 도메인으로 검색해 보면 약 1,400 여개의 링크가 검출되는 것을 확인할 수 있습니다.

          국내외적으로 웹 보안의 문제점이 지속적으로 나타나고 있지만, 제대로 된 해결책이 아직까지 나오지 않고 있습니다. 언제쯤이면 이러한 공격이 사라질까요?


          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            인터넷 업계의 보안의 화두인 SQL Injection 공격이 국내외 사이트를 초토화시키고 있습니다. 일반 회사 웹사이트, 언론, 게임 업체 웹사이트 등 하루에도 수백수천 개의 사이트들이 피해를 당하고 있으며, 가장 중요한 피해는 웹 사이트를 방문하는 사용자가 자기도 모르게 악성 코드를 다운로드하여 실행되어 감염된다는 점입니다.
            SQL Injection 공격은 게시판과 같이 데이터베이스를 사용하는 웹 환경에서 주로 발생합니다. 데이터(글)를 쓰기 위해서는 사용자와 같이 일정한 권한을 가지고 접근해야 하지만, 이러한 취약점을 이용하면 사용자의 로그온 등을 하지 않고도 또는 관리자의 권한을 갖고 있지 않더라도 데이터의 변조가 가능한 공격입니다.

             
            UN(United Nations)이 운영하는 사이트에서는 약 2년 전에 발견된 SQL Injection 취약점이 여전히 남아 있는 것으로 알려져 충격을 주고 있습니다.

            더 충격적인 사실은 반기문 사무총장의 발언이 SQL Injection 공격으로 인해 변조되었다는 주장입니다. 2007년 8월에 반기문 총장이 중동 지역에서 미국과 이스라엘의 조치에 대한 메시지를 발표했는데 SQL Injection 공격으로 메시지가 변경된 적이 있다고 합니다.

            참고로, UN 웹사이트들은 네이버와 같이 하나의 큰 사이트를 어느 부서(가령 보안팀)에서 총괄하여 관리하는 형태가 아닙니다. UN 웹사이트는 수직적인 형태가 아니라 다양한 부문, 각 국가 등이 포함된 수평적인 구조로 구성되어 있으며, 이러한 넓은 형태의 사이트에서는 사소한 보안적 취약점이 나타나더라도 해결하기가 어려우며, 동일한 취약점을 사이트 내의 다른 서버에서도 종종 발견되기도 합니다. 즉, 총괄적으로 관리할 수가 없다는 것입니다.

            이러한 문제점을 해결하기 위해서는 소스 차원에서 검증을 거쳐야 하고, 전문 적인 보안 스캐너 프로그램이나 서비스를 이용하여 웹 사이트의 보안을 점검해야 하지만, 사실상 검사하는데에도 수일 또는 그 이상의 걸리기 때문에 검사 자체도 아주 어렵다고 볼 수 있습니다.

            반기문 총장님한테 "보안팀" 구성하시라고 메일이라도 드리고 싶은 마음이 굴뚝~같습니다.
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              SQL 인젝션 공격은 XSS와 더불어 웹 상에서 가장 많이 이용하는 공격 형태입니다. 아래는 공격뿐만 아니라 취약점을 분석하기 위해 사용하는 대표적인 쿼리 문장을 정리했습니다.

              ‘OR ” = ‘ Allows authentication without a valid username.
              admin’– Authenticate as user admin without a password.
              ‘ union select 1, ‘user’, ‘pass’ 1– Requires knowledge of column names.
              ‘; drop table users– DANGEROUS! this will delete the user database if the table name is ‘users’.
              ABORT — abort the current transaction
              ALTER DATABASE — change a database
              ALTER GROUP — add users to a group or remove users from a group
              ALTER TABLE — change the definition of a table
              ALTER TRIGGER — change the definition of a trigger
              ALTER USER — change a database user account
              ANALYZE — collect statistics about a database
              BEGIN — start a transaction block
              CHECKPOINT — force a transaction log checkpoint
              CLOSE — close a cursor
              CLUSTER — cluster a table according to an index
              COMMENT — define or change the comment of an object
              COMMIT — commit the current transaction
              COPY — copy data between files and tables
              CREATE AGGREGATE — define a new aggregate function
              CREATE CAST — define a user-defined cast
              CREATE CONSTRAINT TRIGGER — define a new constraint trigger
              CREATE CONVERSION — define a user-defined conversion
              CREATE DATABASE — create a new database
              CREATE DOMAIN — define a new domain
              CREATE FUNCTION — define a new function
              CREATE GROUP — define a new user group
              CREATE INDEX — define a new index
              CREATE LANGUAGE — define a new procedural language
              CREATE OPERATOR — define a new operator
              CREATE OPERATOR CLASS — define a new operator class for indexes
              CREATE RULE — define a new rewrite rule
              CREATE SCHEMA — define a new schema
              CREATE SEQUENCE — define a new sequence generator
              CREATE TABLE — define a new table
              CREATE TABLE AS — create a new table from the results of a query
              CREATE TRIGGER — define a new trigger
              CREATE TYPE — define a new data type
              CREATE USER — define a new database user account
              CREATE VIEW — define a new view
              DEALLOCATE — remove a prepared query
              DECLARE — define a cursor
              DELETE — delete rows of a table
              DROP AGGREGATE — remove a user-defined aggregate function
              DROP CAST — remove a user-defined cast
              DROP CONVERSION — remove a user-defined conversion
              DROP DATABASE — remove a database
              DROP DOMAIN — remove a user-defined domain
              DROP FUNCTION — remove a user-defined function
              DROP GROUP — remove a user group
              DROP INDEX — remove an index
              DROP LANGUAGE — remove a user-defined procedural language
              DROP OPERATOR — remove a user-defined operator
              DROP OPERATOR CLASS — remove a user-defined operator class
              DROP RULE — remove a rewrite rule
              DROP SCHEMA — remove a schema
              DROP SEQUENCE — remove a sequence
              DROP TABLE — remove a table
              DROP TRIGGER — remove a trigger
              DROP TYPE — remove a user-defined data type
              DROP USER — remove a database user account
              DROP VIEW — remove a view
              END — commit the current transaction
              EXECUTE — execute a prepared query
              EXPLAIN — show the execution plan of a statement
              FETCH — retrieve rows from a table using a cursor
              GRANT — define access privileges
              INSERT — create new rows in a table
              LISTEN — listen for a notification
              LOAD — load or reload a shared library file
              LOCK — explicitly lock a table
              MOVE — position a cursor on a specified row of a table
              NOTIFY — generate a notification
              PREPARE — create a prepared query
              REINDEX — rebuild corrupted indexes
              RESET — restore the value of a run-time parameter to a default value
              REVOKE — remove access privileges
              ROLLBACK — abort the current transaction
              SELECT — retrieve rows from a table or view
              SELECT INTO — create a new table from the results of a query
              SET — change a run-time parameter
              SET CONSTRAINTS — set the constraint mode of the current transaction
              SET SESSION AUTHORIZATION — set the session user identifier and the current user identifier of the current session
              SET TRANSACTION — set the characteristics of the current transaction
              SHOW — show the value of a run-time parameter
              START TRANSACTION — start a transaction block
              TRUNCATE — empty a table
              UNLISTEN — stop listening for a notification
              UPDATE — update rows of a table
              VACUUM — garbage-collect and optionally analyze a database
              show processlist — view running process
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                최근 해킹 등의 공격 양상을 보면, 웹 쪽과 데이터베이스 쪽이 주류를 이루고 있습니다. 특히, 데이터베이스에서는 SQL 인젝션 공격과 XSS 공격이 대부분을 차지합니다.

                SQL 인젝션/XSS 공격의 주된 원인은 웹 소스 개발 시에 매개변수로 넘어가는 값의 형태를 명확히 제한하지 않아서 입니다. 특히, 소스의 재활용(!)이 활발한 웹 개발 분야에서는 특히 많은 사이트에서 동일한 취약점을 가지는 경우가 많습니다.

                SQL 인젝션 공격의 양상을 보면, 사용자가 웹사이트에 로그온하고 나서 어떤 기능을 사용하는 비밀 사이트(Private Site)의 경우에는 SQL 인젝션 공격이 거의 드믑니다. 즉, 크래커가 어느 사이트를 뚫겠다고 마음 먹은 후에야 공격이 가능해 집니다. 

                하지만, 사용자가 로그온을 하지 않더라도 사이트를 이용할 수 있는 공개형 사이트(Public Site)에서는 크래커가 사용자 접속 정보(ID/PW)가 없더라도 공격을 시도할 수 있으므로 작년 9월에 최고조에 이른 MASS SQL 인젝션 공격이 출현하게 됩니다.

                특히, SQL 인젝션 공격을 차단하기 위해서 WAF(Web Application Firewall) 장비/소프트웨어를 도입하거나, IPS 등에서 패턴을 추가하기도 합니다. 물론, 전통적인 방화벽 장비로는 이러한 SQL 인젝션 공격을 차단할 수 없습니다.

                따라서, 가장 확실하면서도 안전한 방법은 WAF 등을 도입함과 동시에 소스에 대해 보안 검토를 진행하는 것입니다. 사이트를 모두 개발한 상태인 경우에는 개발자 인력이 없는 경우에는 추가적인 비용이 들 수도 있으며, 개발 중인 사이트에서는 개발 일정이 늘어나게 되는 경우가 있을 수도 있다 할 수 있습니다.

                보안상 안전한 소스로 개발하기 위해서는 다음과 같은 3가지 기준에 합당하도록 소스를 변경해야 합니다.

                • 매개 변수화된 SQL 구문을 사용 
                • 매개변수 ID 검증 - 매개변수로 넘어 가는 값의 형태(숫자, 문자 등등)를 명확히 지정하고 이를 검증하는 모듈을 추가합니다.
                • SQL 구문에 추가하기 전에 'escape' 문자 사용
                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  지금까지의 SQL 인젝션 공격의 유형은 웹 소스의 유효성 검증을 제대로 거치지 않은 결함을 이용하여 데이터베이스에 특정한 코드 즉 iframe이나 자바 스크립트를 삽입하여 공격하는 형태였습니다.

                  최근에 주장된 새로운 SQL 인젝션 공격은 고의적으로 서버에서 파일을 삭제하게 하므로써 대규모 서비스의 장애를 발생시킨 것으로 알려지고 있습니다.

                  이러한 공격은 웹 호스팅 서비스를 제공하는 영국계 ISP인 VaServ.com에서 발생하였는데, 크래커는 HyperVM(서버 가상화 소프트웨어의 하나) 가상 애플리케이션의 제로데이 취약점을 이용하여 시스템의 권한을 획득하여 약 10만 여개의 웹 사이트의 데이터를 파괴시켰습니다.손상된 대부분의 웹 사이트들은 제대로 백업조차 되지 않아 복구되지 않고 있다고 합니다.

                  VaServ.com이 운영하고 있는 웹사이트의 약 반정도에 해당하는 사이트의 데이터가 일요일 저녁 떄 갑자기 삭제되었다고 주장했습니다. 크래커는 모든 파일을 삭제하기 위해 'rm -rf'와 같은 치명적인 유닉스 명령어를 실행했다고 합니다. 또한, 이러한 공격은 SQL에 관련된 것이었으며 고의적이라고 합니다.

                  Milw0rm의 보안 전문가들은 LxLabs가 개발한 Kloxo(구 Lxadmin) 웹 호스팅 플랫폼에 대한 24 가지의 보안 취약점 및 공격 방법에 대해 경고했습니다. 이러한 취약점에는 SQL 인젝션 공격도 포함되어 있으며 공격자가 취약한 시스템에서 운영하고 있는 파일을 제어할 수 있는 권한을 획득할 수 있는 취약점도 있습니다.

                  이 취약점은 Klaxo 5.75 버전에서 확인되었으며 다른 버전에서도 동일하게 나타날 것으로 예상하고 있습니다. Milw0rm은 지난 주 목요일에 공개적으로 알려 졌지만 LxLabs으로부터 어떠한 회신도 받지 못한 것으로 알려졌습니다.

                  LxLabs는 최근에 HyperVM으로 동작하는 가상화 서버가 약 3만개(VPS)가 있으며 Kloxo를 운영하는 서버가 약 8천 개의 이상이라고 합니다. 대규모로 운영하는 사례로는 약 4000 VPS를 중앙집중적으로 관리하고 있다고 합니다.

                  HyperVM과 같은 가상화 솔루션은 웹 호스팅 회사에서 하드웨어와 같은 자원을 줄여서 보다 저렴하게 웹 호스팅을 제공할 수 있게 해줍니다.

                  한 편, 인도 소프트웨어 회사인 LxLabs의 대표가 월요일에 목을 맨 채 사망한 채로 발견되었습니다. Kt Ligesh는 32살의 나이이며 LxLabs사는 HyperVM을 개발하였습니다. 또한 그는 5년전에 여동생과 어머니를 교살한 혐의를 받고 있었다고 합니다.

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    웹 서버의 매개변수를 의도적으로 조작하여 공격하는 Parameter Tampering에 대한 유튜브 동영상 자료입니다.


                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory