음.


http://www.darkreading.com/application-security/waratek-provides-absolute-detection-of-sql-injection-attacks/d/d-id/1319546


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    SQL Injection 취약점을 통해 웹서비스 서버의 권한 장악, 악성코드 유포, 내부 시스템 침입, DB 유출 등, 많은 문제점을 가지고 있는 치명적인 웹 취약점으로 XSS와 더불어 가장 많이 회자되는 취약점입니다.


    SQLi 공격은 1998년도에 최초로 발견됐다고 알려져 있지만, 현재에도 여전히 진행형 Still 인 문제점입니다.



    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      국내 특히 P2P, 언론, SNS 사이트를 통해 악성코드 유포의 사례가 몇년 째 꾸준히 지속되고 있지만 제대로 대응 및 조치가 이뤄지지 못하는 실정입니다.

      이러한 문제가 국내뿐만 그런가 했더니, 해외에도 매한가지로 발생하는 것을 보면, 참으로 답답하기도 하고 씁쓸한 마음뿐입니다.


      해외 사이트 중에서 축구에 관련된 유명한 사이트 중의 하나인 Goal.com에서 악성코드를 유포하는 사고가 지난달 27-28일 발생했습니다. 참고로, Goal.com 사이트는 Alexa(인터넷 방문자 측정 및 랭킹 사이트) 기준 379위를 차지할 정도로 트래픽이 많으며 하루에 약 21만-23만 페이지의 방문 기록을 가지고 있습니다.

      문제는 공격자가 Goal.com 웹사이트의 컨텐트를 자기 입맛대로 바꿀 수 있었다는 것으로 이를 토대로 보면, 공격자가 서버를 어느정도 장악한 것으로 예상되고 있습니다.

      또한, 사용자가 감염될 수 있도록 3개의 도메인으로 된 경유지 링크(pxcz.cz.cc, opofy7puti.cz.cc, justatest.cz.cc)를 삽입하고, 이를 통해 결론적으로 CVE-2010-1423(자바), CVE-2010-1885(MS 도움말 센터 HCP), CVE-2009-0927(PDF), CVE-2006-0003(MS MDAC) 취약점을 이용하는 코드가 포함되어 있습니다.

      이러한 취약점은 대부분 사용자가 직접 업데이트를 해야 하는 수고가 따라야 하기 때문에 컴퓨터에 익숙하지 않은 사용자들이 많이 감염될 가능성이 높다고 볼 수 있습니다.


      그렇다면 이러한 문제의 원인은 무엇일까 고민해 봐야 할 것입니다.

      원인은 바로 웹 소스의 취약점 중의 하나인 SQL Injection으로 짐작되고 있습니다. 자료에 따르면 Mass SQL Injection의 형태를 띠고 있지 않는 것으로 언급되고 있어 공격자가 타겟화된 공격을 벌인 것으로 생각됩니다.

      이러한 SQL Injection 취약점은 나온지 약 15년 정도 되는 꽤 오래된 구식의 취약점에도 불구하고 여전히 명성을 떨치고 있습니다.

      현대 캐피탈, 소니 PSN 해킹 등등.

      언제쯤 이러한 문제의 해결이 이뤄질련지... ...

      감사합니다.

      자료 출처: http://threatpost.com/en_us/blogs/popular-sports-site-goalcom-serves-malware-050311


      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        MySQL 데이터베이스의 공식 홈페이지인 MySQL.com 홈페이지가 SQL 인젝션 취약점을 통해 해킹되어 계정 정보가 누출되는 사고가 발생했습니다. 

        특히 Blind SQL 인젝션 공격은 공격자가 별다른 작업을 수행하지 않아도 자동적으로 공격을 수행하고 그 결과 데이터베이스의 정보까지 빼낼 수 있습니다.

        Vulnerable Target : http://mysql.com/customers/view/index.html?id=1170
        Host IP : 213.136.52.29
        Web Server : Apache/2.2.15 (Fedora)
        Powered-by : PHP/5.2.13
        Injection Type : MySQL Blind
        Current DB : web

        더욱 문제가 되는 것은 이 취약점을 이용하여 빼낸 각종 정보가 인터넷 상에 공개되어 있으며, 간단한 비밀번호를 가진 계정은 해킹되어 있으며, 다른 계정 정보도 해독 프로그램을 이용하여 열심히 풀고 있다는 것입니다.

        Data Bases:    
        
        information_schema
        bk
        certification
        c?ashme
        cust_sync_interim
        customer
        dbasavings
        downloads
        feedback
        glassfish_interface
        intranet
        kaj
        license_customers
        manual
        manual_search
        mem
        mysql
        mysqlforge
        mysqlweb
        news_events
        partner_t?aining
        partners
        partners_bak
        phorum5
        planetmysql
        qa_contribution
        quickpoll
        robin
        rp
        sampo
        sampo_interface
        sessions
        softrax
        softrax_interim
        solutions
        tco
        test
        track
        track_refer
        wb
        web
        web_control
        web_projects
        web_training
        webwiki
        wordpress
        zack
        
        Current DB: web
        
        Tables
        
        xing_validation        
        v_web_submissions      
        userbk 
        user_extra     
        
        user  Columns: cwpid version lead_quality sfid industry address2 created last_modified lang notify newsletter gid title 
        fax cell phone country zipcode state city address business company position lastname firstname passwd verified bounces 
        email user_id
        
        us_zip_state   
        us_area_state  
        unsub_log      
        trials 
        trial_external_log     
        trial_data     
        trial_alias    
        training_redirect      
        tag_blacklist  
        tag_applied    
        tag    
        support_feeds_DROP     
        support_entries_DROP   
        states 
        snapshots_builds       
        snapshots      
        sakilapoints   
        regions        
        quote_customer 
        quote  
        quicklinks     
        promo  
        product_releases       
        position       
        partner        
        paper_lead     
        paper_details_options  
        paper_details_old      
        paper_details  
        paper  
        newsletter_unsub       
        nav_sites      
        nav_items      
        mysql_history  
        mirror_status  
        mirror_country 
        mirror_continent       
        mirror 
        mailing_list_member    
        mailing_list   
        locks  
        lead_validity_rules    
        lead_source_xref       
        lead_source_external   
        lead_source    
        lead_routing_rule      
        lead_rep       
        lead_old       
        lead_note      
        lead_extra_old 
        lead_extra_new 
        lead_extra     
        lead_companies 
        lead_campaign_member   
        lead   
        language_strings       
        language_modules       
        imagecache     
        hall_of_fame   
        g_search_term  
        g_search_data  
        g_blog_data    
        forum_comment  
        forms  
        field_xref     
        field_options  
        field_match    
        email_blacklist        
        email_a_friend 
        drpl_manual_review     
        drpl_denied    
        drpl_check_log 
        drpl_cache     
        customer_meta_sets     
        customer_meta_set      
        customer_meta  
        customer       
        coupon_product 
        coupon_campaign_attribute      
        coupon_campaign        
        coupon 
        country        
        countries      
        campaign_type  
        campaign_topic 
        campaign_score 
        campaign_listdata      
        campaign_detail        
        business       
        bounces        
        
        Database : mysql
        Table:
        
        user_info    
        
        user     Column: Update_pri Insert_priv Select_priv Password User Host
        
        time_zone_transition_type    
        time_zone_transition    
        time_zone_name    
        time_zone_leap_second    
        time_zone    
        tables_priv    
        slow_log    
        ?ervers    
        procs_priv    
        proc    
        plugin    
        ndb_binlog_index    
        inventory    
        host    
        help_topic    
        help_relation    
        help_keyword    
        help_category    
        general_log    
        func    
        event    
        db    
        columns_priv
        
        
        # mysql.user Data
        
        Password                                      User            Host
                                                        wembaster     %
                                                    monitor     10.%
                                                    sys             %
                                                    sys             localhost
        *06581D0A5474DFF4D5DA3CE0CD7702FA52601412     forumread     %
        *0702AEBF8E92A002E95D40247776E1A67CD2CA3F     wb             %
        *2A57F767D29295B3CB8D01C760D9939649483F85     flipper     10.%
        *32F623705BFFFE682E7BD18D5357B38EF8A5BAA9     wordpress     %
        *66A905D4110DF14B41D585FDBCE0666AD13DD8C1     nagios             %
        *704EB56151317F27573BB4DDA98EDF00FFABAAF8     root             localhost
        *ED1BDC19B08FD41017EE180169E5CEB2C77F941A     mysqlforge     %
        *FD75B177FFEC3590FE5D7E8459B3DDC60AE8147B     webleads     10.%
        00680dd718880337                             olof             %
        077f61a849269b62     qa_r     %
        077f61a849269b62     qa_rw     %
        077f61a849269b62     qa_adm     %
        0c2f46ba6b87d4ea     trials_admin     10.%
        1856b9b03b5a6f47     cacti     %
        19519e95545509b5     certification     %
        1a39dcad63bbc7a6     gf_mschiff     %
        2277fd7d562ec459     webslave     localhost
        2277fd7d562ec459     webslave     %
        304404b114b5516c     planetmysql_rw     %
        35e376451a87adb0     planetmysql_ro     %
        4e203d581b756a93     webmaster     localhost
        4e203d581b756a93     webmaster     %
        4e93479179a8ec93     sysadm     %
        575ec47e16c7e20e     phorum5     %
        575ec47e16c7e20e     lenz     %
        5f340ec40a706f64     robin     %
        61113da02d2c97a5     regdata     %
        616075f256f111ba     myadmin     10.100.6.44
        61711eea3de509ac     merlin     127.0.0.1
        6302de0909a369a1     ebraswell     %
        6b72b2824cc7f6fe     mysqlweb     %
        6ffd2b17498cdd44     zack     %
        70599cf351c6f591     repl     %
        740284817e3ed5a8     webwiki     %
        74c5529b41a97cc2     web_projects    
        
        Databsae: web_control
        
        Table:
        system    
        system_command    
        service_request    
        run_control    
        request_daemon    
        rebuild_server    
        rebuild_queue    
        rebuild_control    
        quarterly_lead_report    
        newsletter_log    
        newsletter_control    
        ips    
        hosts  Columns:notes description name
        dns_servers Columns: name internal ip
        
        
        Database: certification
        
        Tables:
        signup    
        corpcustomers    
        certexamdata    
        certcandidatedata    
        certaccess
        
        
        Database: wordpress
        
        Tables:
        
        wp_4_term_taxonom    
        wp_4_term_relationships    
        wp_4_posts    
        wp_4_postmeta    
        wp_4_options    
        wp_4_links    
        wp_4_comments    
        wp_3_terms    
        wp_3_term_taxonomy    
        wp_3_term_relationships    
        wp_3_posts    
        wp_3_postmeta    
        wp_3_options    
        wp_3_links    
        wp_3_comments    
        wp_2_terms    
        wp_2_term_taxonomy    
        wp_2_term_relationships    
        wp_2_posts    
        wp_2_postmeta    
        wp_2_options    
        wp_2_links    
        wp_2_comments    
        wp_1_terms    
        wp_1_term_taxonomy    
        wp_1_term_relationships    
        wp_1_posts    
        wp_1_postmeta    
        wp_1_options    
        wp_1_links    
        wp_1_comments    
        wp_11_terms    
        wp_11_term_taxonomy    
        wp_11_term_relationships    
        wp_11_posts    
        wp_11_postmeta    
        wp_11_options    
        wp_11_links    
        wp_11_comments    
        wp_10_terms    
        wp_10_term_taxonomy    
        wp_10_term_relationships    
        wp_10_posts    
        wp_10_postmeta    
        wp_10_options    
        wp_10_links    
        wp_10_comments    
        remove_queries
        
        
        
        Database: bk
        
        Table:
        wp_backupterm_taxonomy    
        wp_backupterm_relationships    
        wp_backupposts    
        wp_backuppostmeta    
        wp_backupoptions    
        wp_backuplinks    
        wp_backupcomments
        
        
        -----------------------------------------------------------------------------------
        Signed : Jackh4xor ! 
        
        Greetz : rooto, Mr.52, zone-hacker, w4ck1ng
        
        (In)Security


        감사합니다.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          국내외에서 가장 많이 사용되는 데이터베이스 엔진을 골라보면 범용적인 목적에는 MySQL, MS-SQL 그리고 상용 및 대규모, 공공쪽에서는 Oracle이 많이 사용됩니다.

          SQL Injection 공격에 대한 내성으로 따져 보면, MySQL, MS-SQL은 100% 취약하며 Oracle은 상대적으로 약간 더 안전한 편입니다.

          하지만, 해커들의 꾸준한 노력으로 인해 Oracle에 대한 공격이 타 데이터베이스와 마찬가지로 발생할 날이 가까워 오고 있습니다.

          오라클은 SQL Injection과 같은 공격과 기타 데이터베이스 공격을 차단하여 데이터베이스의 컨텐츠에 대한 보안을 강화하기 위해 Oracle Database Firewall(ODF)를 출시합니다.

          먼저 Oracle Enterprise Linux 제품에 적용되게 되며 IBM DB2, Sybase ASE, MS-SQL에서도 지원할 예정이라고 합니다.

          오라클은 2010년 5월에 합병한 데이터베이스 방화벽 전문 기업인 Secerno의 기술을 이용하여 개발한 것으로 알려지고 있습니다.

          오라클에서 구현할 수 있는 데이터베이스 보안은 당연히 데이터베이스 방화벽이라고 말할 수 있을 것입니다. 하지만, 원인을 해결하지 않고 공격 코드만을 보고 판별하는 방법은 이미 타 벤더들이 제공하는 WAF와 동일하기 때문에 큰 효과를 거둘 수 있을 지는 미지수입니다.

          감사합니다.

          출처: http://www.databasejournal.com/news/article.php/3924691/Oracle-Debuts-Database-Firewall.htm
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            예전에 BBC 웹사이트의 해킹소식과 함께 여전히 SQL Injection 취약점이 존재한다는 글을 쓴 적이 있습니다.


            지난 화요일에 BBC 웹사이트 해킹에 대한 추가적인 뉴스가 올라와서 간단히 정리합니다.

            보안 기업인 WebSense에 따르면 BBC에서 운영하는 동영상 사이트에서 방문자들에게 은밀하게 악성코드를 유포하도록 해킹된 사실을 발견했다고 전했습니다.

            BBC의 6 Music과 1Xtra 웹사이트에서는 악성코드를 유포하는 도메인(맨 끝이 .cc)로 끝나는 익스플로잇이 <iframe> 태그형태로 삽입되었습니다. 유포되는 악성코드는 Phoenix exploit으로 이미 2007년도에 최초 출현한 이후에 꾸준히 배포되고 있는 실정입니다. 또한, 감염 상태를 손쉽게 파악할 수 있는 통계 정보도 수집하는 코드도 포함되어 있습니다.

            <그림 #1. WebSense의 블로그에 올라온 문제의 삽입 코드>

            웹사이트가 이렇게 감염된 경우에는 충분한 성능을 가진 안티바이러스(백신)을 설치하여 사용하지 않거나 최신 보안 패치가 적용되어 있지 않은 경우에는 사용자도 모르게 악성코드에 감염되게 되며, 보통 계정과 같은 개인 정보의 누출과 DDoS 공격에 사용되는 봇(bot)으로 이용될 가능성이 높습니다.

            특히 웹사이트가 유명하면서도 합법적으로 서비스가 되고 있는 상황, 게다가 엄청난 방문자수를 자랑하는 사이트에서 악성코드를 유포하기 때문에 더욱 심각하다고 볼 수 있습니다.

            또한 웹사이트에서는 SQL Injection 취약점으로 인한 코드 삽입이라기 보다는 비밀번호 누출과 같은 다른 방식의 공격이 사용되었을 수도 있다고 추측되고 있습니다. 즉, SQL Injection 취약점으로 이용하여 추가적인 공격을 진행한 것으로 추측됩니다.

            한 편, 국내의 상황을 보면 더욱더 심각한 편입니다. 법적인 문제 등으로 인해 정확히 밝힐 수는 없지만, 꽤 많은 웹사이트가 BBC와 마찬가지로 공격을 당하고 있습니다. 물론, 공격에 사용되는 도메인의 형태는 약간 다릅니다.

            다운로드되는 악성코드에 대응하는 안티바이러스의 결과는 다음과 같습니다.

            http://www.virustotal.com/file-scan/report.html?id=4a0ab371e6c6dd54deeab41ab1b77fa373d2face149523dfd183d669b31da6bc-1297784293


            감사합니다.

            출처: http://www.theregister.co.uk/2011/02/15/bbc_driveby_download/

             

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              지난 2월 초에 온라인 데이트 사이트인 PlentofFish(POF)가 해킹을 당해 약 2800만 건의 데이터가 누출되었다고 알려드린 적이 있습니다.
              인터넷 불륜 사이트, 해킹으로 2,800만 이용자들 화들짝! 놀라
              http://moonslab.com/1250

              그런데, POF를 해킹한 아르헨티나 해커인 Chris Rosso는 이번에는 eHarmony 사이트를 해킹하여 서버 정보 뿐만 아니라 수천명의 개인 정보까지 보유하고 있으며, 이 사이트를 판매한다는 광고까지 내건것으로 확인되고 있습니다.


              위의 하면은 carder.biz 포럼에 올려진 글이며, 이와 별개로 diversitybusiness.com의 150만개의 개인정보를 1,500 달러에 판매한다는 글, pixmania.com, eidos.com 등에 대한 것들도 올라와 있습니다.

              eHarmony의 기술 담당자인 Joseph Essas에 따르면 Russo는 advice.eharmony.com에서 사용하는 서드파티 라이브러리 중 하나에서 SQL Injection 취약점을 발견하였으며 이를 이용하여 공격한 것이라고 밝혔습니다.

              또한 Russo는 보안 서비스를 받도록 요구한 바가 있으며 이는 POF와 동일한 사례로 보입니다.

              이와 같이 최근에는 데이터베이스가 알차다고(!) 여겨지는 사이트의 해킹이 줄을 잇고 있으며 이러한 해킹의 주요한 원인은 SQL 인젝션 취약점으로, 앞으로도 개선할 부분이 많으며, 꾸준히 이러한 문제가 나타날 것으로 예상됩니다.

              감사합니다.

              출처: http://krebsonsecurity.com/2011/02/eharmony-hacked/?utm_medium=twitter&utm_campaign=winsec&utm_source=%40winsec
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                인터넷 채팅 사이트는 매춘이나 불륜의 온상지가 된지 이미 오랩니다. 국내도 마찬가지이지만 이번에 캐나다에서 운영하고 있는 온라인 데이트 사이트인 PlentyofFish(이하 POF)에서 SQL 인젝션 취약점으로 인해 대규모의 개인정보 누출 사고가 발생했습니다.

                이 사고는 POF의 CEO인 Markus Frind가 자신의 블로그에 해킹에 관련된 정황을 서술하면서 밝혀졌습니다.

                POF는 월방문자가 1억 4,500만명에 이를 정도로 유명한 사이트로 이번 사고로 인해 2,800만명 이상의 정보가 누출되었습니다.

                사고의 범인은 아르헨티나 출신의 보안 전문가인 Chris Russo로, 러시아의 해커와 함께 해킹을 주도하고 있다고 주장하고 있습니다.

                Russo에 따르면, 지난 1월 21일에 POF 사이트에서 SQL Injection 취약점을 발견했으며 이 취약점을 통해 사용자 이름, 비밀번호, 주소, 메일 주소, 전화번호, 페이팔 계정 정보 등 약 2,800백만 명 이상의 정보를 확인할 수 있었다고 합니다.

                해킹을 한 이유는 자신 및 자신이 관리하는 팀을 POF에서 고용하기를 요구하는 것으로 파악되고 있으며 금액은 1년에 약 10만 달러 이상을 요구한다고 Frind가 블로그에서 언급했습니다. 물론, 고용하지 않으면 백업한 데이터베이스를 인터넷에 공개한다고 엄포를 놓았습니다.

                만약 정보가 공개된다면, 이 사이트를 이용한 방문자의 행태 및 성향이 공개될 가능성이 매우 높으며 특히 유부남/녀의 불륜과 같이 사회통념상 문제의 소지가 있을 만한 부분이 알려진다면 사회적으로 많은 파장을 불러 올 것으로 예상됩니다.

                한편, 유명한 보안 기업인 White Hat의 공동 창업자인 Jeremiah Grossman는 Russo가 유튜브에 공개한 해킹 동영상을 검토한 결과 공격에 이용할만한 심각한 취약점은 보이지 않는다고 밝혔습니다.

                하지만, 그 이후에 Frind의 블로그에서는 SQL Injection 공격이 있었다는 POF의 공식적인 답변이 올라와 있습니다.

                이처럼 대형 사이트에서는 보안 취약점 중 특히 웹 취약점을 해결하기 위해 스캐너와 보안 코딩을 적용해가고 있지만, 완벽하게 막을 수 없다는 사실을 한번 더 상기하는 사례라고 볼 수 있습니다.

                관련 기사:  http://www.scmagazineus.com/dating-site-plentyoffish-hacked-to-expose-passwords/article/195382/
                관련 블로그: http://plentyoffish.wordpress.com/2011/01/31/plentyoffish-hacked/
                유튜브 동영상: http://www.youtube.com/watch?v=7RBYkk5Vq4M&feature=youtu.be (삭제됨)

                감사합니다.
                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  워렌 버핏이라는 유명한 투자가가 살고 있는 동네가 바로 오마하(Omaha)라는 곳으로, 버렌 버핏을 오마하의 현인(Oracle of Omaha)라고 불리기도 합니다.

                  하지만, 최근 오마하의 공립학교에서 해킹으로 인해 개인정보가 누출되는 사고가 발생하여 간단히 정리해 봅니다.

                  정체불명의 해커가 오마하 공립학교의 현직 및 전직 교직원 약 4,300 명 이상의 사회보장번호(우리나라의 주민등록번호)와 개인정보가 누출되었을 것으로 알려지고 있습니다.

                  공격은 오마하 학교에서 운영하는 Retirement System 웹사이트에서 발생했으며 지난 12월 21일에 처음 알려졌습니다. 하지만, 얼마만큼의 정보가 누출되었는지 파악할 수 없는 상태라고 합니다.

                  해커는 개인의 사회보장번호뿐만 아니라 수혜자에 관한 정보까지 포함되어 있는 데이터베이스에 침투했지만, 다행이도 신용카드 정보는 보관하지 않아 누출되지 않았습니다.

                  더욱 어이없는 문제는 해당 사이트는 관리자만이 로그온하여 접근할 수 있는 웹사이트의 형태인데도 불구하고 SQL Injection 취약점을 이용하여 손쉽게 침투할 수 있었다는 것입니다.

                  현재 웹 공격의 경향은 로그온을 하지 않아도 충분히 공격할 수 있는 Mass SQL 인젝션 공격이 대세를 이루고 있습니다. 하지만, 특정한 사이트를 노리는 경우에는 로그온 절차가 있떠라도 SQL 인젝션과 같은 취약점이 있는지 다시 한번 검토하여 예방하는 방안이 최선임을 명심해야 할 것입니다.

                  출처: http://www.southwestiowanews.com/articles/2011/01/15/around_the_region/doc4d3087e8be773707787918.txt

                  감사합니다.




                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    테크노트는 제로보드(Zeroboard)와 같은 성격의 게시판 소스입니다. 지난 2주 전에는 제로보드의 구버전 취약점을 이용한 악성코드 배포 공격이 유행했었습니다.

                    지난 1월 1일 한 해커가 exploit-db.com에 테크노트의 SQL Injection 취약점 및 공격 패턴에 대해 공개한 바가 있습니다.

                    따라서, 테크노트를 사용하는 고객은 반드시 소스 수정을 통해 문제점을 해결해야 합니다.


                    감사합니다.

                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory