- [문스랩닷컴] 삶에는 왕도가 없습니다

'SQL 인젝션'에 해당되는 글 42건

2010/02/18 이베이에 CSRF 취약점 발견돼!
2010/01/27 NASA의 에어졸 연구소 웹사이트 SQLi로 해킹돼!
2010/01/11 DragonWAF, 소프트웨어 웹방화벽
2010/01/10 미군 웹사이트, SQL 인젝션 공격으로 데이터 누출 (2)
2009/12/23 우누(unu), 이번에는 인텔 웹사이트 털어(!)
2009/12/23 SQL 인젝션 생일, 11살.
2009/12/22 보안 위협에 대한 2010년도 예상치
2009/12/18 HeartLand, American Express에 360만달러 물어줘
2009/12/16 SNS 개발사이트, SQLi 취약점으로 인해 3천2백만개의 계정 정보 노출돼
2009/12/13 대규모 SQL 인젝션 공격진행중, 12월 초 12만5천대 이상의 웹서버 감염시켜

이베이에 CSRF 취약점 발견돼!

보안은 무료로/웹 보안 2010/02/18 13:39

웹에 관련되어 다양한 공격에 대한 소식이 알려지고 있는 가운데, 최근에 이베이(eBay)에서 새로운 취약점이 발견되어 이를 수정하고 있다는 소식을 전해 드립니다.

Avnet 정보 보안 컨설팅 사에 근무하는 직원이 eWEEK 지의 Nir Goldshlager에게 전한 소식에 따르면 이베이에 CSRF(Cross-Site Request Forgery) 취약점이 발견되었다고 합니다. 이 취약점은 이베이의 실시간 기술 지원 페이지 와 eBay to Go 링크에서 발견되었습니다. 게다가 기부 페이지에서는 블라인드 SQL 인젝션 취약점도 발견되었습니다.

일단 블라인드 SQL 인젝션은 현재 해결된 상태이지만 CSRF는 아직 패치하기 전이며 위와 같은 창이 대신 나타납니다.

출처: http://www.eweek.com/c/a/Security/Researcher-Uncovers-eBay-Security-Vulnerabilities-684970/

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG Blind SQL Injection, Cross-site, cross-site request forgery, CSRF, ebay, SQL Injection, SQL 인젝션, 블라인드 SQL 인젝션, 웹취약점, 이베이

받은 트랙백이 없고, 댓글이 없습니다.

NASA의 에어졸 연구소 웹사이트 SQLi로 해킹돼!

보안은 무료로/웹 보안 2010/01/27 09:01

최근 외국의 해커들은 유명한 회사나 기관의 웹사이트를 해킹하여 자신이 소유한 블로그에 게시하는 경우가 많습니다. 블로그에서도 여러번 소개한 적이 있습니다만, 이번에는 TinCode 라는 루마니아 계의 해커가 저지른 사건입니다.

문제가 발생한 사이트는 미항공우주국(NASA)의 Goddard Space Flight Center(GSFC)의 에어로졸 연구에 관련된 것으로 KinCode는 aerocenter.gsfc.nasa.gov 사이트의 보안이 되어 있지만, 완벽하지 않다고 하면서 이번 해킹은 매우 어려운 것이었다고 털어 놓았습니다.

아래는 해킹을 한 화면들입니다.

<화면 1. SQLi 취약점을 확인>

<화면 2. 데이터베이스의 버전 확인>

<화면 3. 모든 데이터베이스의 이름 확인>

<화면 4. 모든 테이블 확인>

<화면 5. 관리자 계정의 비밀번호 확인>

위의 화면에서 관리자의 비밀번호는 MD5로 암호화되어 저장되는 것을 알 수 있으며, MD5는 시간만 약간 들인다면 충분히 깰 수 있는 암호체계입니다.

한편, NASA는 기존에도 여러 번 해킹을 당해 뉴스에 언급된 적이 있습니다. 하지만, NASA와 같이 거대한 조직에서 완벽한 보안을 유지하는 것은 매우 어려운 일이라고 생각됩니다.

KinCode의 블로그: http://tinkode.baywords.com/index.php/2010/01/the-center-for-aerosol-research-nasa-website-security-issues/

감사합니다.

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG Aerosol, Aerosol Research, Goddard Space Flight Center, GSFC, KinCode, NASA, SQL Injeciton, SQL 인젝션, sql 주입공격, SQLi, 미항공우주국

받은 트랙백이 없고, 댓글이 없습니다.

DragonWAF, 소프트웨어 웹방화벽

보안은 무료로/웹 보안 2010/01/11 17:50

최근의 공격 성향을 보면, 일반 OS나 네트워크 단의 공격보다는 웹을 기반으로 하는 공격이 증가하고 있으며, 특히 치명적인 영향을 미치는 것이 특징입니다.

이러한 웹에 관련된 취약점은 대부분 소스를 보안에 맞게 작성하지 않아서 발생합니다. 따라서, SQL 인젝션이나 XSS 공격 등을 차단하기 위해서는 소스를 수정해야 하지만, 현실적으로 소스를 신속하게 수정하기란 어렵습니다. 또한, 사이트가 계속 변경되고 발전되어 간다면 이 과정에서 소스를 수정하기도 힘듭니다.

이러한 경우에는 WAF(Web Application Firewall)이라는 장치를 사용하여 웹 서버의 앞단에서 웹 공격으로 판단되는 패킷(요청)을 차단하는 새로운 형태의 보안 서비스가 출시되어 사용되고 있습니다.

WAF에는 하드웨어 즉 장비 기반이 있고, 소프트웨어로 운영 체제 내에서 프로그램으로 돌아가는 형태가 있습니다. 하드웨어 기반은 가격이 비싼데 반해, 다양한 서버를 통합적으로 커버할 수 있다는 장점이 있습니다. 소프트웨어 기반은 가격은 저렴하지만 서버마다 설치하여 운영해야 하는 관리적인 부담이 있습니다.

지금 소개하려는 제품은 소프트웨어 웹 방화벽 중 하나인 DragonWAF 입니다. 이 제품은 중국에서 개발된 것으로 알려져 있습니다. 지원하는 운영체제 및 IIS 버전은 다음과 같습니다.

윈도우 NT - IIS 4.0
윈도우 2000 - IIS 5.0
윈도우 XP 프로페셔널 - IIS 5.1
윈도우 2003 - IIS 6.0

하지만 윈도우 2008에서 제공하는 IIS 7.0은 아직 지원하지 않습니다.

DragonWAF에서 차단할 수 있는 웹 공격의 유형은 다음과 같습니다.

1. SQL Injection
2. Server-Side Include
3. Directory Indexing
4. Path Traversal
5. Cross-Site Scripting
6. Buffer Overflow
7. LDAP Injection
8. Phishing
9. HTTP Response Splitting
10. Content Spoofing
11. Predictable Resource Location
12. Denial of Service
13. Application Fingerprinting
14. Insufficient Session Expiration
15. Session Fixation
16. Web Server Fingerprinting
17. Abuse of Functionality (emails, spiders, data theft)
18. Command Injection

사용자 인터페이스는 중국에서 만든 관계로 중국어(간체, 번체)와 영어를 지원하지만, 한국어는 별도로 지원하지 않습니다.

마지막으로 일반 소프트웨어 제품과 마찬가지로 평가판을 제공하고 있습니다. 평가판은 아래 링크에서 일정 양식을 입력한 후에 사용하실 수 있습니다.

http://www.dragonsoft.com/FreeTool/WAF/validation.php

감사합니다.

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG Firewall, Phishing, SQL Injeciton, SQL 인젝션, SQLi, WAF, web application firewall, XSS, 방화벽, 웹방화벽

받은 트랙백이 없고, 댓글이 없습니다.

미군 웹사이트, SQL 인젝션 공격으로 데이터 누출

보안은 무료로/웹 보안 2010/01/10 22:40

루마니아 계의 그레이 해커인 TinKode는 미군 사이트 중 하나인 AHOS(Army Housing OneStep, 미군에게 주택에 관련된 정보를 제공하는 사이트)에서 SQL 인젝션 취약점이 있다는 사실을 자신의 블로그에 공개했습니다.

TinKode는 onestop.army.mil 사이트에 SQL 인젝션 공격의 취약점이 있다는 사실과 해당 서버의 자세한 정보(윈도우 2003 서비스팩 2, MS SQL 2000 데이터베이스)를 공개했습니다. 서버에는 총 76개의 데이터베이스가 있다고 밝혔지만, 이 해커는 "AHOS"라고 하는 데이터베이스에 대해 집중적으로 설명했습니다. 이에 대한 자세한 사항은 아래 자료를 참고하시기 바랍니다.

http://tinkode.baywords.com/index.php/2010/01/army-mil-full-disclosure/

아울러, 현재 해당 사이트는 오프라인으로 운영이 중지된 상태입니다.

참고로, TinKode는 트위터를 통해, 해킹이 가능한 사이트에 대한 정보를 공개합니다.

http://twitter.com/TinKode

감사합니다.

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG SQL, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, TinKode, 미군

받은 트랙백이 없고, 댓글 2개가 달렸습니다.

우누(unu), 이번에는 인텔 웹사이트 털어(!)

보안은 무료로/웹 보안 2009/12/23 23:40

루마니아 해커로 알려져 있는 우누(unu)가 이번에는 인텔의 웹사이트를 해킹했다는 소식을 정리해 알려드립니다.

지난 12월 22일 경, 우누는 SQL 인젝션 취약점을 통해 세계적으로 유명한 반도체 업체인 인텔의 웹사이트를 해킹하였다고 공개하였습니다.

문제점은 인텔 웹페이지 중에서 파트너 채널 프로그램의 Webminar 부분에서 찾아 낸 것으로 알려지고 있습니다.

이전에 공개한 다른 웹사이트와 마찬가지로, 해당 사이트는 비밀번호를 암호화하지 않았으며, 파일을 로드할 수 있는 취약점까지도 있는 것으로 알려지고 있습니다.

아래는 Unu가 공개한 화면들입니다.

<사진 #1. 데이터베이스 이름뿐만 아니라, mysql의 version(), database(), user()를 보여 주는 화면>

<사진 #2. mysql user, password 등의 정보를 보여 주는 화면>

<사진 #3. 서버 관리자의 비밀번호가 암호화되지 않고 평문으로 저장되어 있는 것을 보여주는 화면>

<사진 #4. load_file 기능이 차단되지 않아 악성 코드의 삽입이 가능한 상황을 보여주는 화면>

<사진 #5. 신용카드 등 중요한 금융 정보를 보여주는 화면>

하지만, 재미있는 사실은 지난 2월 달에도 인텔 사이트의 문제점을 unu가 공개한 적이 있다는 것입니다.

그만큼, 대형 사이트에서는 모든 취약점을 찾아내기고 어려울 뿐더러 해결하기는 더욱 어렵다는 사실을 반증하기도 합니다.

감사합니다.

우누가 공개한 블로그:
http://unu123456.baywords.com/2009/12/22/intel-expose-server-login-dates-passport-and-credit-card-dates/

2월달에 인텔사이트가 해킹당한 내용에 대한 기사:
http://news.softpedia.com/news/Intel-Security-Center-Lacks-Security-105684.shtml

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG Intel, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, UNU, 우누, 인텔

받은 트랙백이 없고, 댓글이 없습니다.

SQL 인젝션 생일, 11살.

보안은 무료로/웹 보안 2009/12/23 23:20

요즘 별의 별 기념이 있습니다만,

오늘은 SQL 인젝션 취약점이 처음 제기된 날로 알려져 있습니다. 이름하여 "SQL 인젝션 탄생일", 나이는 자그마치 11살입니다. 이에 대한 얘기를 한번 소개해 보겠습니다.

지난 1998년 크리스마스 무렵에 Phrack 이름의 잡지에서 처음 소개된 것이 SQL 인젝션 취약점입니다. 물론, 현재까지도 제대로 다 해결하지 못해 수많은 사이트가 당하고 있는 실정입니다.

취약점이 발견된지 11년, 하지만 더 엉망인 인터넷 세상!

누가 해결할 수 있을까요?

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG Phrack, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, 프랙

받은 트랙백이 없고, 댓글이 없습니다.

보안 위협에 대한 2010년도 예상치

보안은 무료로/뉴스 & 정보 2009/12/22 17:36

금융 기관의 보안에 대해 전문적인 글이 올라 오고 있는 BankInfoSecurity.com에서는 2010년도에 발생 가능한 보안 위협을 정리하여 이중 8가지를 요약하여 발표했습니다. 간단히 정리하면 다음과 같습니다.

1. 금융 기관을 대상으로 하는 조직적인 범죄

2. 인증 체계에 대한 공격

3. 악성 프로그램의 증가

4. 전화 사기

5. 내부자에 의한 위협 증가

6. 모바일 뱅킹에 대한 공격

7. 웹 2.0 및 소셜 미디어에 대한 공격

8. SQL 인젝션 공격

자세한 사항은 아래 링크를 참고하십시오.

http://www.bankinfosecurity.com/articles.php?art_id=2019&opg=1

감사합니다.

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG SNS, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, 소셜 미디어, 웹 2.0

받은 트랙백이 없고, 댓글이 없습니다.

HeartLand, American Express에 360만달러 물어줘

보안은 무료로/웹 보안 2009/12/18 18:47

2009년 올해 기억될만한 보안 침해 사고 중에는 하틀랜드(Heartland) 사건이 있습니다. 해커는 SQL Injection 취약점을 통해 약 1억3천만건의 신용카드 등의 사용 정보가 누출된 바가 있습니다. 이와는 별도로 지난해 일어난 사고에 대해 비용을 지불한다는 뉴스가 있어 간단히 정리해 봅니다.

이번에 하틀랜드(Heartland Payment Systems)는 지난해말부터 올해 초까지 발생한 해킹에 대한 책임으로 어메리칸 익스프레스(American Express)에 360만 달러를 지불해 주기로 했습니다.

이 비용은 카드사가 누출된 카드에 대해 새로운 카드를 재발급하는데 드는 비용을 포함하고 있습니다.

중요한 점은 이렇게 데이터 침해가 발생하게 되면 원청으로부터 손해배상을 받을 수 있다는 사실입니다.

모두들 주의하시기 바랍니다.

출처: http://ecommerce-journal.com/node/26026

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG am, american express, heartland, heartland payment systems, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, 어메리칸 익스프레스, 하틀랜드

받은 트랙백이 없고, 댓글이 없습니다.

SNS 개발사이트, SQLi 취약점으로 인해 3천2백만개의 계정 정보 노출돼

보안은 무료로/웹 보안 2009/12/16 22:26

소셜 네트워킹 서비스(SNS, Social Network Service)의 애플리케이션을 개발하여 MySpace, FaceBook 과 같은 사이트에 공급하는 Rock You 사에서 SQLi(SQL Injection) 취약점으로 인해 약 3천260여만개의 계정 정보가 해커에게 탈취당하는 사건이 발생했습니다.

이는 계정 정보 DB에 접근할 수 있도록 SQLi 취약점이 존재한 것때문으로 파악되었으며, 현재에는 이 문제를 해결한 상태입니다.

하지만, igigi 라고 불리우는 해커가 탈취한 정보를 공개하여 사건이 일파만파 커지고 있습니다. 공개한 정보에 따르면 사용자의 ID와 비밀번호는 암호화하지 않은 평문으로 DB에 저장하였으며 이는 꽤 위험한 사안임에 분명합니다.

Database codedb
===============
OnCallUsers
ReleaseFiles
ReleaseLog
ReleaseSerialize
ReleaseUser
ReleaseWhiteList
UserProjects
files
incomplete_files
srv_file_data
svn_commit_log
svn_push_log
www_servers


Columns www_servers
================
server_name
Data www_servers [115]
================
www200
www202
www203
www204
www205
www206
www207
www208
www209
www210
www211
www212
www213
www214
www215
www216
www217
www218
www219
www220
www221
www222
www223
www224
www225
www226
www227
www228
www229
www230
www231
www232
www233
www234
www235
www236
www237
www241
www242
www243
www244
www245
www246
www247
www248
www249
www250
www251
www252
www253
www254
www255
www256
www257
www258
www259
www260
www261
www262
www263
www264
www265
www266
www267
www268
www269
www270
www271
www272
www273
www274
www275
www278
www279
www280
www281
www282
www283
www284
www285
www286
www287
www288
www289
www290
www291
www294
www295
www296
www297
www298
www299
www300
www301
www302
www303
www304
www305
www306
www307
www308
www309
www310
www311
www312
www313
www314
www315
www316
www317
www318
www319
www320
www321
www322
Columns ReleaseUser
================
userid
name
ldap_user
password
email
superuser
Data ReleaseUser [52]
================
1|Ryo|eng-ryo|roc***|ryo@rockyou.com|1
2|Jia|eng-jia|DuF***|jia@rockyou.com|1
3|Kazu|dev-kazu|nlj***|kazu@rockyou.com|0
4|Lance|eng-lance|frU***|lance@rockyou.com|1
5|Raymond|eng-raymond|h45***|raymond@rockyou.com|1
6|James|eng-james|te9***|james@rockyou.com|1
7|Ernest|ads-ernest|7RQ***|ernest@rockyou.com|1
8|Dathan|eng-dathan|yoy***|dathan@rockyou.com|1
9|David Ma|art-david|4Pa***|david@rockyou.com|0
10|Vinay|pm-vinay|xa3***|vinay@rockyou.com|0
11|Jennifer|pm-jen|KA9***|jennifer@rockyou.com|0
12|Kenneth|dev-kenneth|Xa8***|kenneth@rockyou.com|0
13|Jeremy Tan|dev-jeremyt|HLH***|jeremyt@rockyou.com|0
14|John Hwang|pm-johnh|raG***|johnh@rockyou.com|0
15|Tim|pm-tim|gen***e|tim@rockyou.com|0
16|Arthur Chen|pm-arthur|art***c|authurc@rockyou.com|0
17|Eric|pm-eric|67E***|eric@rockyou.com|0
18|Andrew|pm-andrew|SQN***|andrew@rockyou.com|0
22|John Gentilin|ads-john|sp8***|john@rockyou.com|0
21|Shamik|ads-shamik| Es***|shamik@rockyou.com|0
26|Chuck|eng-chuck|bRe***|chuck@rockyou.com|0
19|Sandy|pm-sandy|stE***|sandy@rockyou.com|0
23|Alex Grichuk|eng-alexander|5uw***|alexander@rockyou.com|1
24|Ibrahim|eng-ibrahim|AF$***|ibrahim@rockyou.com|1
25|Len|eng-len|&Ab***|len@rockyou.com|1
Database partners
===============
Partner
PostSections
Columns Partner
================
partnerid
createddate
modifieddate
state
partnername
username
password
test_authtoken
test_username
test_password
post_url
iframe_url
home_url
directons
import_type
publish_type
Data Partner [139]
================
1|ryonations|aho*****|ryo ishizuka
9|mekatek@gmail.com|460*****|jia
12|albert_magnuson@yahoo.com|num*****|Friendster
13|ro@rockyou.com|460*****|altamerc
14|admin@bstar.com|461*****|bStar
18|ododo@dodood.com|461*****|dddee
19|rsiu@tickleinc.com|jka*****|ringo
20|ajmagnu@gmail.com|461*****|AJ's Site
21|jia@rockyou.com|mek*****|rockstar
22|peter@rockyou.com|461*****|peter
23|eugene.j.park@gmail.com|461*****|eugenejpark
24|eugene@flixster.com|pas*****|Flixster
25|nemwmin@aol.com|462*****|Adam
26|aj@rockyou.com|xan*****|Xanga
27|greg@asw.com|464*****|asw
28|gareth@asw.com|464*****|asmallworld
29|grendler@socialconcepts.com|fre*****|fubar
30|kenny@amikoo.com|464*****|Amikoo
31|support@piczotube.co.uk|465*****|PiczoTube
32|joelovesfishing246@hotmail.com|465*****|Media Dump
33|adam@urtab.com|suz*****|UrTab
34|bodenpat@iclltd.com|bad*****|Badongo
35|business@zorpia.com|465*****|Zorpia
36|lycan@groovenet.ph|465*****|GrooveNet
37|w.steward@fileden.com|466*****|FileDen
Database phpmyfaq
===============
faqadminlog
faqcaptcha
faqcategories
faqcategory_group
faqcategory_user
faqcategoryrelations
faqchanges
faqcomments
faqconfig
faqdata
faqdata_group
faqdata_revisions
faqdata_tags
faqdata_user
faqglossary
faqgroup
faqgroup_right
faqlinkverifyrules
faqnews
faqquestions
faqright
faqsessions
faqtags
faquser
faquser_group
faquser_right
faquserdata
faquserlogin
faqvisits
faqvoting
Database rockmyspace
===============
App
CoRegistration
CoRegistrationService
Comment
ContactList
CountDown
CountDownPublished
Email_list
Email_list_final
FXTextPublished
Favorite
GamesRating
Genre
GizmozPublished
GmailUserInfo
HoroscopePublished
Instance
LayoutCategory
Likeness
MochiAdsGames
MySpaceFoo
MySpaceLikenessContactComment
MySpaceUserInfo
MySpace_Foo
MySpace_List
ObamaSupporters
ObamaSupportersSlideshow
PageFlashPublished
PersonalBoard
PersonalBoardObjects
Pets
PetsBattleLog
PhotoFX
PhotoFXDetail
PhotoFXObjects
PhotoFXPublished
PicInstance_10
PicInstance_11
PicInstance_12
PicInstance_13
PicInstance_14
PicInstance_15
PicInstance_16
PicInstance_17
PicInstance_18
PicInstance_19
PicInstance_5
ProUser
Razz
ScratchInstance
ScratchInstancePublished
SlideshowPublished
SlideshowUnsuitable
Song
SongChoice
SongGenre
SpamReport
TextPixPublished
TopShows
Unsubscription
User
UserAccount
UserDatranUnsub
UserDetail
UserMessage
UserMessageBlockList
UserPoints
UserPointsEvents
UserPointsTransactions
UserReferer
UserScrape
Video2Categories
Video2Tags
VideoCategories
VideoTags
Videos
Voicemail
Columns UserAccount
================
userid
username
password
type
allowmail
Data UserAccount [32603388]
================
1|jennaplanerunner@hotmail.com|mek*****|myspace|0|bebo.com
2|phdlance@gmail.com|mek*****|myspace|1|
3|jennaplanerunner@gmail.com|mek*****|myspace|0|
5|teamsmackage@gmail.com|pro*****|myspace|1|
6|ayul@email.com|kha*****|myspace|1|tagged.com
7|guera_n_negro@yahoo.com|emi*****|myspace|0|
8|beyootifulgirl@aol.com|hol*****|myspace|1|
9|keh2oo8@yahoo.com|cai*****|myspace|1|
10|mawabiru@yahoo.com|pur*****|myspace|1|
11|jodygold@gmail.com|att*****|myspace|1|
12|aryan_dedboy@yahoo.com|iri*****|myspace|0|
13|moe_joe_25@yahoo.com|725*****|myspace|1|
14|xxxnothingbutme@aol.com|1th*****|myspace|0|
15|meandcj069@yahoo.com|too*****|myspace|0|
16|stacey_chim@hotmail.com|cxn*****|myspace|1|
17|barne1en@cmich.edu|ilo*****|myspace|1|
18|reo154@hotmail.com|ecu*****|myspace|1|
19|natapappaslie@yahoo.com|tor*****|myspace|0|
20|ypiogirl@aol.com|tob*****|myspace|1|
21|brittanyleigh864@hotmail.com|bet*****|myspace|1|myspace.com
22|topenga68@aol.com|che*****|myspace|0|
23|marie603412@yahoo.com|cat*****|myspace|0|
24|mellowchick41@aol.com|chu*****|myspace|0|
25|baiko0o@aol.com|may*****|myspace|0|
26|indahamzah84@hotpop.com|lov*****|myspace|0|
Database rockyou
===============
Cat_10_Date_Cache_12070719B
Cat_10_Rank_Cache_12070719B
Cat_10_Views_Cache_12070719B
Cat_11_Date_Cache_12070719B
Cat_11_Rank_Cache_12070719B
Cat_11_Views_Cache_12070719B
Cat_12_Date_Cache_12070719B
Cat_12_Rank_Cache_12070719B
Cat_12_Views_Cache_12070719B
Cat_13_Date_Cache_12070719B
Cat_13_Rank_Cache_12070719B
Cat_13_Views_Cache_12070719B
Cat_1_Date_Cache_09110222B
Cat_1_Rank_Cache_09110222B
Cat_1_Views_Cache_09110222B
Cat_2_Date_Cache_09110222B
Cat_2_Rank_Cache_09110222B
Cat_2_Views_Cache_09110222B
Cat_3_Date_Cache_09110222B
Cat_3_Rank_Cache_09110222B
Cat_3_Views_Cache_09110222B
Cat_4_Date_Cache_12070719B
Cat_4_Rank_Cache_12070719B
Cat_4_Views_Cache_12070719B
Cat_5_Date_Cache_12070719B
Cat_5_Rank_Cache_12070719B
Cat_5_Views_Cache_12070719B
Cat_6_Date_Cache_12070719B
Cat_6_Rank_Cache_12070719B
Cat_6_Views_Cache_12070719B
Cat_7_Date_Cache_12070719B
Cat_7_Rank_Cache_12070719B
Cat_7_Views_Cache_12070719B
Cat_8_Date_Cache_12070719B
Cat_8_Rank_Cache_12070719B
Cat_8_Views_Cache_12070719B
Cat_9_Date_Cache_12070719B
Cat_9_Rank_Cache_12070719B
Cat_9_Views_Cache_12070719B
Category
CategoryMap
CategoryMapStage
CategoryMapTmp
Country
Fans
Friends
PeopleMap
PeopleMapStage
PeopleUserMap
PhotoInstance
Rating
RatingSummary
SlideshowPublished
Src_Cat_10_Date
Src_Cat_10_Rank
Src_Cat_10_Views
Src_Cat_11_Date
Src_Cat_11_Rank
Src_Cat_11_Views
Src_Cat_12_Date
Src_Cat_12_Rank
Src_Cat_12_Views
Src_Cat_13_Date
Src_Cat_13_Rank
Src_Cat_13_Views
Src_Cat_1_Date
Src_Cat_1_Rank
Src_Cat_1_Views
Src_Cat_2_Date
Src_Cat_2_Rank
Src_Cat_2_Views
Src_Cat_3_Date
Src_Cat_3_Rank
Src_Cat_3_Views
Src_Cat_4_Date
Src_Cat_4_Rank
Src_Cat_4_Views
Src_Cat_5_Date
Src_Cat_5_Rank
Src_Cat_5_Views
Src_Cat_6_Date
Src_Cat_6_Rank
Src_Cat_6_Views
Src_Cat_7_Date
Src_Cat_7_Rank
Src_Cat_7_Views
Src_Cat_8_Date
Src_Cat_8_Rank
Src_Cat_8_Views
Src_Cat_9_Date
Src_Cat_9_Rank
Src_Cat_9_Views
Subscription
Tag
TagMap
TagMapStage
WidgetViewTime
contest
instance_daily_hits
instance_hits
instance_hits_read
instance_hits_write

Database wikispace =============== archive bbcategory bbforums bbposts bbtopics categorylinks email_log externallinks filearchive hitcounter image imagelinks interwiki ipblocks job langlinks logging math objectcache oldimage page page_restrictions pagelinks pm querycache querycache_info querycachetwo recentchanges redirect review revision search searchindex site_stats templatelinks text text_test trackbacks transcache user user_groups user_newtalk watchlist

출처: http://igigi.baywords.com/rockyou-com-exposed-more-than-32-millions-of-passwords-in-plaintext/

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG Facebook, MySpace, SNS, SQL Injection, SQL 인젝션, sql 주입공격, SQLi

받은 트랙백이 없고, 댓글이 없습니다.

대규모 SQL 인젝션 공격진행중, 12월 초 12만5천대 이상의 웹서버 감염시켜

보안은 무료로/웹 보안 2009/12/13 15:45

지난 12월 초, 대규모 SQL 인젝션 공격이 진행되어 약 12만 5천대 이상의 웹서버가 감염되었다는 주장이 제기되었습니다.

대규모 SQL 인젝션 공격(Mass SQL Injection Attack)이란 "봇넷이나 전문 스캐너 프로그램을 이용하여 무차별적으로 웹사이트를 공격하여 취약한 사이트를 찾아 내어 데이터베이스 등의 데이터를 조작하는 일련의 공격 행위"를 말합니다.
국내에서는 지난 해 9월부터 10월까지 수십여만 개의 웹 사이트를 해킹당한 바가 있으며 올해에도 여러 번의 공격이 보고되었으나, 국내의 피해가 아주 심하지 않아(!) 언론에 알려지지 않았습니다.

최근에 발생한 공격은 318x.com 사이트에서 악성 프로그램을 다운로드하는 iFrame 형태로, 구글 검색 결과 약 12만 5천 개 이상 감염되었습니다. iFrame의 공격은 다른 웹페이지로 리디렉트(Redirect)하게 되며 사용자는 이러한 사실을 알아내기 어렵습니다.

공격이 진행된 상황은 다음과 같습니다.

1. 사용자가 조작된 웹 페이지에 방문할 때에 318x.com/a.htm을 방문하도록 iframe으로 만들어진 스크립트가 자동으로 실행됩니다. a.htm 파일에는 두 가지 기능이 숨겨져 있습니다.

aa1100.2288.org/htmlasp/dasp/alt.html 에서 두 번째 iframe 코드 로드
jt.tongji.linezing.com/1358779/tongji.js 스크립트 로드(추적 목적)

2. aa1100.2288.org/htmlasp/dasp/alt.html에 포함된 iframe의 기능은 다음과 같습니다.

aa1100.2288.org/htmlasp/dasp/share.html로 유도하는 세번째 iFrame 코드 생성
js.tongji.inezing.com/1364067/tongji.js 스크립트 로드(위의 스크립트 코드와 다름)
img.tongji.linezing.com/1364067/tongji.gif 이미지가 www.linezing.com를 가리키도록 <noscript> 코드 실행

3. share.html은 공격을 염두로 둔 마스터 파일로 동작합니다. 다수의 스크립트 파일이 포함되어 있으며 사용자의 브라우저, 플래시의 버전 등의 기준에 따라 여러 개의 iFrame 코드들이 구성되어 있습니다.

문제는 아직까지 이 공격의 목표 또는 직접적인 피해가 나타나고 있지 않습니다. 보안 업계에 따르면 마지막 공격 시점에 사용된 악성 코드에 관련된 스크립트를 모니터링한 결과 일부 코드가 변경되거나 삭제되고, 새로운 스크립트가 추가되고 있다고 합니다. 대부분의 파일은 .jpg 확장자로 위장되어 있지만 스크립트의 경우에는 .js 확장자를 가집니다.

전체적인 공격 형태가 알려지지는 않았지만, 아래와 같이 같이 PDF 취약점을 이용하는 것으로 다수로 나타났습니다.

Integer overflow vulnerability in Adobe Flash Player, described in CVE-2007-0071
MDAC ADODB.Connection ActiveX vulnerability described in MS07-009
Microsoft Office Web Components vulnerabilities described in MS09-043
Microsoft video ActiveX vulnerability described in MS09-032
Internet Explorer Uninitialized Memory Corruption Vulnerability – MS09-002

다음과 같이 PDF 취약점을 이용하는 것으로 나타났습니다.
이러한 일련의 공격이 성공적으로 이후어진 후에는 Backdoor.win32.Buzus.croo라는 파일을 windowssp.7766.org 사이트에서 비밀리에 다운로드하여 설치합니다. 악성 코드가 설치디면 다음과 같이 루트킷의 형태로 동작하는 파일을 컴퓨터에 설치합니다.

%UserProfile%\ammxv.drv
%ProgramFiles%\Common Files\Syesm.exe

또한, 악성 코드는 컴퓨터에서 시작할 때마다 자동으로 실행되도록 하기 위해 아래와 같이 레지스트리를 변경합니다.

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller\Security
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller\Security

Backdoor.Win32.Buzus.croo는 121.14.13.136.5:80에 연결을 시도하고 hxxp://dns.winsdown.com/cn/Countdown/count.asp 로 POST 요청을 전송합니다.

악성 코드는 IRC를 이용하여 원격을 관리하는 형태이며 공격의 목표는 신용카드와 같은 금융 정보를 빼내는 것입니다.

지난해 9월 이후로 발생하는 대규모 SQL 인젝션 공격은 이제 일반화된 형태로 나타나고 있습니다. 이를 차단하는 방법은 사용자의 입장에서는 보안 패치와 바이러스 백신과 같은 보안 제품을 사용하는 것이며, 웹 관리자의 입장에서는 SQL 인젝션 공격의 원인인 취약점을 해결하는 것입니다. 물론 웹 관리자가 해결한다면 사용자까지 공격이 올 수 없게 되므로 웹 관리자의 주의가 매우 필요합니다.