- [문스랩닷컴] 삶에는 왕도가 없습니다

'SQL Injection'에 해당되는 글 41건

2010/02/18 이베이에 CSRF 취약점 발견돼!
2010/01/10 미군 웹사이트, SQL 인젝션 공격으로 데이터 누출 (2)
2009/12/23 우누(unu), 이번에는 인텔 웹사이트 털어(!)
2009/12/23 SQL 인젝션 생일, 11살.
2009/12/22 보안 위협에 대한 2010년도 예상치
2009/12/18 HeartLand, American Express에 360만달러 물어줘
2009/12/16 SNS 개발사이트, SQLi 취약점으로 인해 3천2백만개의 계정 정보 노출돼
2009/12/13 대규모 SQL 인젝션 공격진행중, 12월 초 12만5천대 이상의 웹서버 감염시켜
2009/12/12 카스퍼스키, 연이은 보안사고 발생! 범인은 Unu.
2009/12/10 카스퍼스키 포르투칼 홈페이지, SQLi 취약점으로 해킹돼!

이베이에 CSRF 취약점 발견돼!

보안은 무료로/웹 보안 2010/02/18 13:39

웹에 관련되어 다양한 공격에 대한 소식이 알려지고 있는 가운데, 최근에 이베이(eBay)에서 새로운 취약점이 발견되어 이를 수정하고 있다는 소식을 전해 드립니다.

Avnet 정보 보안 컨설팅 사에 근무하는 직원이 eWEEK 지의 Nir Goldshlager에게 전한 소식에 따르면 이베이에 CSRF(Cross-Site Request Forgery) 취약점이 발견되었다고 합니다. 이 취약점은 이베이의 실시간 기술 지원 페이지 와 eBay to Go 링크에서 발견되었습니다. 게다가 기부 페이지에서는 블라인드 SQL 인젝션 취약점도 발견되었습니다.

일단 블라인드 SQL 인젝션은 현재 해결된 상태이지만 CSRF는 아직 패치하기 전이며 위와 같은 창이 대신 나타납니다.

출처: http://www.eweek.com/c/a/Security/Researcher-Uncovers-eBay-Security-Vulnerabilities-684970/

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG Blind SQL Injection, Cross-site, cross-site request forgery, CSRF, ebay, SQL Injection, SQL 인젝션, 블라인드 SQL 인젝션, 웹취약점, 이베이

받은 트랙백이 없고, 댓글이 없습니다.

미군 웹사이트, SQL 인젝션 공격으로 데이터 누출

보안은 무료로/웹 보안 2010/01/10 22:40

루마니아 계의 그레이 해커인 TinKode는 미군 사이트 중 하나인 AHOS(Army Housing OneStep, 미군에게 주택에 관련된 정보를 제공하는 사이트)에서 SQL 인젝션 취약점이 있다는 사실을 자신의 블로그에 공개했습니다.

TinKode는 onestop.army.mil 사이트에 SQL 인젝션 공격의 취약점이 있다는 사실과 해당 서버의 자세한 정보(윈도우 2003 서비스팩 2, MS SQL 2000 데이터베이스)를 공개했습니다. 서버에는 총 76개의 데이터베이스가 있다고 밝혔지만, 이 해커는 "AHOS"라고 하는 데이터베이스에 대해 집중적으로 설명했습니다. 이에 대한 자세한 사항은 아래 자료를 참고하시기 바랍니다.

http://tinkode.baywords.com/index.php/2010/01/army-mil-full-disclosure/

아울러, 현재 해당 사이트는 오프라인으로 운영이 중지된 상태입니다.

참고로, TinKode는 트위터를 통해, 해킹이 가능한 사이트에 대한 정보를 공개합니다.

http://twitter.com/TinKode

감사합니다.

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG SQL, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, TinKode, 미군

받은 트랙백이 없고, 댓글 2개가 달렸습니다.

우누(unu), 이번에는 인텔 웹사이트 털어(!)

보안은 무료로/웹 보안 2009/12/23 23:40

루마니아 해커로 알려져 있는 우누(unu)가 이번에는 인텔의 웹사이트를 해킹했다는 소식을 정리해 알려드립니다.

지난 12월 22일 경, 우누는 SQL 인젝션 취약점을 통해 세계적으로 유명한 반도체 업체인 인텔의 웹사이트를 해킹하였다고 공개하였습니다.

문제점은 인텔 웹페이지 중에서 파트너 채널 프로그램의 Webminar 부분에서 찾아 낸 것으로 알려지고 있습니다.

이전에 공개한 다른 웹사이트와 마찬가지로, 해당 사이트는 비밀번호를 암호화하지 않았으며, 파일을 로드할 수 있는 취약점까지도 있는 것으로 알려지고 있습니다.

아래는 Unu가 공개한 화면들입니다.

<사진 #1. 데이터베이스 이름뿐만 아니라, mysql의 version(), database(), user()를 보여 주는 화면>

<사진 #2. mysql user, password 등의 정보를 보여 주는 화면>

<사진 #3. 서버 관리자의 비밀번호가 암호화되지 않고 평문으로 저장되어 있는 것을 보여주는 화면>

<사진 #4. load_file 기능이 차단되지 않아 악성 코드의 삽입이 가능한 상황을 보여주는 화면>

<사진 #5. 신용카드 등 중요한 금융 정보를 보여주는 화면>

하지만, 재미있는 사실은 지난 2월 달에도 인텔 사이트의 문제점을 unu가 공개한 적이 있다는 것입니다.

그만큼, 대형 사이트에서는 모든 취약점을 찾아내기고 어려울 뿐더러 해결하기는 더욱 어렵다는 사실을 반증하기도 합니다.

감사합니다.

우누가 공개한 블로그:
http://unu123456.baywords.com/2009/12/22/intel-expose-server-login-dates-passport-and-credit-card-dates/

2월달에 인텔사이트가 해킹당한 내용에 대한 기사:
http://news.softpedia.com/news/Intel-Security-Center-Lacks-Security-105684.shtml

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG Intel, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, UNU, 우누, 인텔

받은 트랙백이 없고, 댓글이 없습니다.

SQL 인젝션 생일, 11살.

보안은 무료로/웹 보안 2009/12/23 23:20

요즘 별의 별 기념이 있습니다만,

오늘은 SQL 인젝션 취약점이 처음 제기된 날로 알려져 있습니다. 이름하여 "SQL 인젝션 탄생일", 나이는 자그마치 11살입니다. 이에 대한 얘기를 한번 소개해 보겠습니다.

지난 1998년 크리스마스 무렵에 Phrack 이름의 잡지에서 처음 소개된 것이 SQL 인젝션 취약점입니다. 물론, 현재까지도 제대로 다 해결하지 못해 수많은 사이트가 당하고 있는 실정입니다.

취약점이 발견된지 11년, 하지만 더 엉망인 인터넷 세상!

누가 해결할 수 있을까요?

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG Phrack, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, 프랙

받은 트랙백이 없고, 댓글이 없습니다.

보안 위협에 대한 2010년도 예상치

보안은 무료로/뉴스 & 정보 2009/12/22 17:36

금융 기관의 보안에 대해 전문적인 글이 올라 오고 있는 BankInfoSecurity.com에서는 2010년도에 발생 가능한 보안 위협을 정리하여 이중 8가지를 요약하여 발표했습니다. 간단히 정리하면 다음과 같습니다.

1. 금융 기관을 대상으로 하는 조직적인 범죄

2. 인증 체계에 대한 공격

3. 악성 프로그램의 증가

4. 전화 사기

5. 내부자에 의한 위협 증가

6. 모바일 뱅킹에 대한 공격

7. 웹 2.0 및 소셜 미디어에 대한 공격

8. SQL 인젝션 공격

자세한 사항은 아래 링크를 참고하십시오.

http://www.bankinfosecurity.com/articles.php?art_id=2019&opg=1

감사합니다.

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG SNS, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, 소셜 미디어, 웹 2.0

받은 트랙백이 없고, 댓글이 없습니다.

HeartLand, American Express에 360만달러 물어줘

보안은 무료로/웹 보안 2009/12/18 18:47

2009년 올해 기억될만한 보안 침해 사고 중에는 하틀랜드(Heartland) 사건이 있습니다. 해커는 SQL Injection 취약점을 통해 약 1억3천만건의 신용카드 등의 사용 정보가 누출된 바가 있습니다. 이와는 별도로 지난해 일어난 사고에 대해 비용을 지불한다는 뉴스가 있어 간단히 정리해 봅니다.

이번에 하틀랜드(Heartland Payment Systems)는 지난해말부터 올해 초까지 발생한 해킹에 대한 책임으로 어메리칸 익스프레스(American Express)에 360만 달러를 지불해 주기로 했습니다.

이 비용은 카드사가 누출된 카드에 대해 새로운 카드를 재발급하는데 드는 비용을 포함하고 있습니다.

중요한 점은 이렇게 데이터 침해가 발생하게 되면 원청으로부터 손해배상을 받을 수 있다는 사실입니다.

모두들 주의하시기 바랍니다.

출처: http://ecommerce-journal.com/node/26026

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG am, american express, heartland, heartland payment systems, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, 어메리칸 익스프레스, 하틀랜드

받은 트랙백이 없고, 댓글이 없습니다.

SNS 개발사이트, SQLi 취약점으로 인해 3천2백만개의 계정 정보 노출돼

보안은 무료로/웹 보안 2009/12/16 22:26

소셜 네트워킹 서비스(SNS, Social Network Service)의 애플리케이션을 개발하여 MySpace, FaceBook 과 같은 사이트에 공급하는 Rock You 사에서 SQLi(SQL Injection) 취약점으로 인해 약 3천260여만개의 계정 정보가 해커에게 탈취당하는 사건이 발생했습니다.

이는 계정 정보 DB에 접근할 수 있도록 SQLi 취약점이 존재한 것때문으로 파악되었으며, 현재에는 이 문제를 해결한 상태입니다.

하지만, igigi 라고 불리우는 해커가 탈취한 정보를 공개하여 사건이 일파만파 커지고 있습니다. 공개한 정보에 따르면 사용자의 ID와 비밀번호는 암호화하지 않은 평문으로 DB에 저장하였으며 이는 꽤 위험한 사안임에 분명합니다.

Database codedb
===============
OnCallUsers
ReleaseFiles
ReleaseLog
ReleaseSerialize
ReleaseUser
ReleaseWhiteList
UserProjects
files
incomplete_files
srv_file_data
svn_commit_log
svn_push_log
www_servers


Columns www_servers
================
server_name
Data www_servers [115]
================
www200
www202
www203
www204
www205
www206
www207
www208
www209
www210
www211
www212
www213
www214
www215
www216
www217
www218
www219
www220
www221
www222
www223
www224
www225
www226
www227
www228
www229
www230
www231
www232
www233
www234
www235
www236
www237
www241
www242
www243
www244
www245
www246
www247
www248
www249
www250
www251
www252
www253
www254
www255
www256
www257
www258
www259
www260
www261
www262
www263
www264
www265
www266
www267
www268
www269
www270
www271
www272
www273
www274
www275
www278
www279
www280
www281
www282
www283
www284
www285
www286
www287
www288
www289
www290
www291
www294
www295
www296
www297
www298
www299
www300
www301
www302
www303
www304
www305
www306
www307
www308
www309
www310
www311
www312
www313
www314
www315
www316
www317
www318
www319
www320
www321
www322
Columns ReleaseUser
================
userid
name
ldap_user
password
email
superuser
Data ReleaseUser [52]
================
1|Ryo|eng-ryo|roc***|ryo@rockyou.com|1
2|Jia|eng-jia|DuF***|jia@rockyou.com|1
3|Kazu|dev-kazu|nlj***|kazu@rockyou.com|0
4|Lance|eng-lance|frU***|lance@rockyou.com|1
5|Raymond|eng-raymond|h45***|raymond@rockyou.com|1
6|James|eng-james|te9***|james@rockyou.com|1
7|Ernest|ads-ernest|7RQ***|ernest@rockyou.com|1
8|Dathan|eng-dathan|yoy***|dathan@rockyou.com|1
9|David Ma|art-david|4Pa***|david@rockyou.com|0
10|Vinay|pm-vinay|xa3***|vinay@rockyou.com|0
11|Jennifer|pm-jen|KA9***|jennifer@rockyou.com|0
12|Kenneth|dev-kenneth|Xa8***|kenneth@rockyou.com|0
13|Jeremy Tan|dev-jeremyt|HLH***|jeremyt@rockyou.com|0
14|John Hwang|pm-johnh|raG***|johnh@rockyou.com|0
15|Tim|pm-tim|gen***e|tim@rockyou.com|0
16|Arthur Chen|pm-arthur|art***c|authurc@rockyou.com|0
17|Eric|pm-eric|67E***|eric@rockyou.com|0
18|Andrew|pm-andrew|SQN***|andrew@rockyou.com|0
22|John Gentilin|ads-john|sp8***|john@rockyou.com|0
21|Shamik|ads-shamik| Es***|shamik@rockyou.com|0
26|Chuck|eng-chuck|bRe***|chuck@rockyou.com|0
19|Sandy|pm-sandy|stE***|sandy@rockyou.com|0
23|Alex Grichuk|eng-alexander|5uw***|alexander@rockyou.com|1
24|Ibrahim|eng-ibrahim|AF$***|ibrahim@rockyou.com|1
25|Len|eng-len|&Ab***|len@rockyou.com|1
Database partners
===============
Partner
PostSections
Columns Partner
================
partnerid
createddate
modifieddate
state
partnername
username
password
test_authtoken
test_username
test_password
post_url
iframe_url
home_url
directons
import_type
publish_type
Data Partner [139]
================
1|ryonations|aho*****|ryo ishizuka
9|mekatek@gmail.com|460*****|jia
12|albert_magnuson@yahoo.com|num*****|Friendster
13|ro@rockyou.com|460*****|altamerc
14|admin@bstar.com|461*****|bStar
18|ododo@dodood.com|461*****|dddee
19|rsiu@tickleinc.com|jka*****|ringo
20|ajmagnu@gmail.com|461*****|AJ's Site
21|jia@rockyou.com|mek*****|rockstar
22|peter@rockyou.com|461*****|peter
23|eugene.j.park@gmail.com|461*****|eugenejpark
24|eugene@flixster.com|pas*****|Flixster
25|nemwmin@aol.com|462*****|Adam
26|aj@rockyou.com|xan*****|Xanga
27|greg@asw.com|464*****|asw
28|gareth@asw.com|464*****|asmallworld
29|grendler@socialconcepts.com|fre*****|fubar
30|kenny@amikoo.com|464*****|Amikoo
31|support@piczotube.co.uk|465*****|PiczoTube
32|joelovesfishing246@hotmail.com|465*****|Media Dump
33|adam@urtab.com|suz*****|UrTab
34|bodenpat@iclltd.com|bad*****|Badongo
35|business@zorpia.com|465*****|Zorpia
36|lycan@groovenet.ph|465*****|GrooveNet
37|w.steward@fileden.com|466*****|FileDen
Database phpmyfaq
===============
faqadminlog
faqcaptcha
faqcategories
faqcategory_group
faqcategory_user
faqcategoryrelations
faqchanges
faqcomments
faqconfig
faqdata
faqdata_group
faqdata_revisions
faqdata_tags
faqdata_user
faqglossary
faqgroup
faqgroup_right
faqlinkverifyrules
faqnews
faqquestions
faqright
faqsessions
faqtags
faquser
faquser_group
faquser_right
faquserdata
faquserlogin
faqvisits
faqvoting
Database rockmyspace
===============
App
CoRegistration
CoRegistrationService
Comment
ContactList
CountDown
CountDownPublished
Email_list
Email_list_final
FXTextPublished
Favorite
GamesRating
Genre
GizmozPublished
GmailUserInfo
HoroscopePublished
Instance
LayoutCategory
Likeness
MochiAdsGames
MySpaceFoo
MySpaceLikenessContactComment
MySpaceUserInfo
MySpace_Foo
MySpace_List
ObamaSupporters
ObamaSupportersSlideshow
PageFlashPublished
PersonalBoard
PersonalBoardObjects
Pets
PetsBattleLog
PhotoFX
PhotoFXDetail
PhotoFXObjects
PhotoFXPublished
PicInstance_10
PicInstance_11
PicInstance_12
PicInstance_13
PicInstance_14
PicInstance_15
PicInstance_16
PicInstance_17
PicInstance_18
PicInstance_19
PicInstance_5
ProUser
Razz
ScratchInstance
ScratchInstancePublished
SlideshowPublished
SlideshowUnsuitable
Song
SongChoice
SongGenre
SpamReport
TextPixPublished
TopShows
Unsubscription
User
UserAccount
UserDatranUnsub
UserDetail
UserMessage
UserMessageBlockList
UserPoints
UserPointsEvents
UserPointsTransactions
UserReferer
UserScrape
Video2Categories
Video2Tags
VideoCategories
VideoTags
Videos
Voicemail
Columns UserAccount
================
userid
username
password
type
allowmail
Data UserAccount [32603388]
================
1|jennaplanerunner@hotmail.com|mek*****|myspace|0|bebo.com
2|phdlance@gmail.com|mek*****|myspace|1|
3|jennaplanerunner@gmail.com|mek*****|myspace|0|
5|teamsmackage@gmail.com|pro*****|myspace|1|
6|ayul@email.com|kha*****|myspace|1|tagged.com
7|guera_n_negro@yahoo.com|emi*****|myspace|0|
8|beyootifulgirl@aol.com|hol*****|myspace|1|
9|keh2oo8@yahoo.com|cai*****|myspace|1|
10|mawabiru@yahoo.com|pur*****|myspace|1|
11|jodygold@gmail.com|att*****|myspace|1|
12|aryan_dedboy@yahoo.com|iri*****|myspace|0|
13|moe_joe_25@yahoo.com|725*****|myspace|1|
14|xxxnothingbutme@aol.com|1th*****|myspace|0|
15|meandcj069@yahoo.com|too*****|myspace|0|
16|stacey_chim@hotmail.com|cxn*****|myspace|1|
17|barne1en@cmich.edu|ilo*****|myspace|1|
18|reo154@hotmail.com|ecu*****|myspace|1|
19|natapappaslie@yahoo.com|tor*****|myspace|0|
20|ypiogirl@aol.com|tob*****|myspace|1|
21|brittanyleigh864@hotmail.com|bet*****|myspace|1|myspace.com
22|topenga68@aol.com|che*****|myspace|0|
23|marie603412@yahoo.com|cat*****|myspace|0|
24|mellowchick41@aol.com|chu*****|myspace|0|
25|baiko0o@aol.com|may*****|myspace|0|
26|indahamzah84@hotpop.com|lov*****|myspace|0|
Database rockyou
===============
Cat_10_Date_Cache_12070719B
Cat_10_Rank_Cache_12070719B
Cat_10_Views_Cache_12070719B
Cat_11_Date_Cache_12070719B
Cat_11_Rank_Cache_12070719B
Cat_11_Views_Cache_12070719B
Cat_12_Date_Cache_12070719B
Cat_12_Rank_Cache_12070719B
Cat_12_Views_Cache_12070719B
Cat_13_Date_Cache_12070719B
Cat_13_Rank_Cache_12070719B
Cat_13_Views_Cache_12070719B
Cat_1_Date_Cache_09110222B
Cat_1_Rank_Cache_09110222B
Cat_1_Views_Cache_09110222B
Cat_2_Date_Cache_09110222B
Cat_2_Rank_Cache_09110222B
Cat_2_Views_Cache_09110222B
Cat_3_Date_Cache_09110222B
Cat_3_Rank_Cache_09110222B
Cat_3_Views_Cache_09110222B
Cat_4_Date_Cache_12070719B
Cat_4_Rank_Cache_12070719B
Cat_4_Views_Cache_12070719B
Cat_5_Date_Cache_12070719B
Cat_5_Rank_Cache_12070719B
Cat_5_Views_Cache_12070719B
Cat_6_Date_Cache_12070719B
Cat_6_Rank_Cache_12070719B
Cat_6_Views_Cache_12070719B
Cat_7_Date_Cache_12070719B
Cat_7_Rank_Cache_12070719B
Cat_7_Views_Cache_12070719B
Cat_8_Date_Cache_12070719B
Cat_8_Rank_Cache_12070719B
Cat_8_Views_Cache_12070719B
Cat_9_Date_Cache_12070719B
Cat_9_Rank_Cache_12070719B
Cat_9_Views_Cache_12070719B
Category
CategoryMap
CategoryMapStage
CategoryMapTmp
Country
Fans
Friends
PeopleMap
PeopleMapStage
PeopleUserMap
PhotoInstance
Rating
RatingSummary
SlideshowPublished
Src_Cat_10_Date
Src_Cat_10_Rank
Src_Cat_10_Views
Src_Cat_11_Date
Src_Cat_11_Rank
Src_Cat_11_Views
Src_Cat_12_Date
Src_Cat_12_Rank
Src_Cat_12_Views
Src_Cat_13_Date
Src_Cat_13_Rank
Src_Cat_13_Views
Src_Cat_1_Date
Src_Cat_1_Rank
Src_Cat_1_Views
Src_Cat_2_Date
Src_Cat_2_Rank
Src_Cat_2_Views
Src_Cat_3_Date
Src_Cat_3_Rank
Src_Cat_3_Views
Src_Cat_4_Date
Src_Cat_4_Rank
Src_Cat_4_Views
Src_Cat_5_Date
Src_Cat_5_Rank
Src_Cat_5_Views
Src_Cat_6_Date
Src_Cat_6_Rank
Src_Cat_6_Views
Src_Cat_7_Date
Src_Cat_7_Rank
Src_Cat_7_Views
Src_Cat_8_Date
Src_Cat_8_Rank
Src_Cat_8_Views
Src_Cat_9_Date
Src_Cat_9_Rank
Src_Cat_9_Views
Subscription
Tag
TagMap
TagMapStage
WidgetViewTime
contest
instance_daily_hits
instance_hits
instance_hits_read
instance_hits_write

Database wikispace =============== archive bbcategory bbforums bbposts bbtopics categorylinks email_log externallinks filearchive hitcounter image imagelinks interwiki ipblocks job langlinks logging math objectcache oldimage page page_restrictions pagelinks pm querycache querycache_info querycachetwo recentchanges redirect review revision search searchindex site_stats templatelinks text text_test trackbacks transcache user user_groups user_newtalk watchlist

출처: http://igigi.baywords.com/rockyou-com-exposed-more-than-32-millions-of-passwords-in-plaintext/

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG Facebook, MySpace, SNS, SQL Injection, SQL 인젝션, sql 주입공격, SQLi

받은 트랙백이 없고, 댓글이 없습니다.

대규모 SQL 인젝션 공격진행중, 12월 초 12만5천대 이상의 웹서버 감염시켜

보안은 무료로/웹 보안 2009/12/13 15:45

지난 12월 초, 대규모 SQL 인젝션 공격이 진행되어 약 12만 5천대 이상의 웹서버가 감염되었다는 주장이 제기되었습니다.

대규모 SQL 인젝션 공격(Mass SQL Injection Attack)이란 "봇넷이나 전문 스캐너 프로그램을 이용하여 무차별적으로 웹사이트를 공격하여 취약한 사이트를 찾아 내어 데이터베이스 등의 데이터를 조작하는 일련의 공격 행위"를 말합니다.
국내에서는 지난 해 9월부터 10월까지 수십여만 개의 웹 사이트를 해킹당한 바가 있으며 올해에도 여러 번의 공격이 보고되었으나, 국내의 피해가 아주 심하지 않아(!) 언론에 알려지지 않았습니다.

최근에 발생한 공격은 318x.com 사이트에서 악성 프로그램을 다운로드하는 iFrame 형태로, 구글 검색 결과 약 12만 5천 개 이상 감염되었습니다. iFrame의 공격은 다른 웹페이지로 리디렉트(Redirect)하게 되며 사용자는 이러한 사실을 알아내기 어렵습니다.

공격이 진행된 상황은 다음과 같습니다.

1. 사용자가 조작된 웹 페이지에 방문할 때에 318x.com/a.htm을 방문하도록 iframe으로 만들어진 스크립트가 자동으로 실행됩니다. a.htm 파일에는 두 가지 기능이 숨겨져 있습니다.

aa1100.2288.org/htmlasp/dasp/alt.html 에서 두 번째 iframe 코드 로드
jt.tongji.linezing.com/1358779/tongji.js 스크립트 로드(추적 목적)

2. aa1100.2288.org/htmlasp/dasp/alt.html에 포함된 iframe의 기능은 다음과 같습니다.

aa1100.2288.org/htmlasp/dasp/share.html로 유도하는 세번째 iFrame 코드 생성
js.tongji.inezing.com/1364067/tongji.js 스크립트 로드(위의 스크립트 코드와 다름)
img.tongji.linezing.com/1364067/tongji.gif 이미지가 www.linezing.com를 가리키도록 <noscript> 코드 실행

3. share.html은 공격을 염두로 둔 마스터 파일로 동작합니다. 다수의 스크립트 파일이 포함되어 있으며 사용자의 브라우저, 플래시의 버전 등의 기준에 따라 여러 개의 iFrame 코드들이 구성되어 있습니다.

문제는 아직까지 이 공격의 목표 또는 직접적인 피해가 나타나고 있지 않습니다. 보안 업계에 따르면 마지막 공격 시점에 사용된 악성 코드에 관련된 스크립트를 모니터링한 결과 일부 코드가 변경되거나 삭제되고, 새로운 스크립트가 추가되고 있다고 합니다. 대부분의 파일은 .jpg 확장자로 위장되어 있지만 스크립트의 경우에는 .js 확장자를 가집니다.

전체적인 공격 형태가 알려지지는 않았지만, 아래와 같이 같이 PDF 취약점을 이용하는 것으로 다수로 나타났습니다.

Integer overflow vulnerability in Adobe Flash Player, described in CVE-2007-0071
MDAC ADODB.Connection ActiveX vulnerability described in MS07-009
Microsoft Office Web Components vulnerabilities described in MS09-043
Microsoft video ActiveX vulnerability described in MS09-032
Internet Explorer Uninitialized Memory Corruption Vulnerability – MS09-002

다음과 같이 PDF 취약점을 이용하는 것으로 나타났습니다.
이러한 일련의 공격이 성공적으로 이후어진 후에는 Backdoor.win32.Buzus.croo라는 파일을 windowssp.7766.org 사이트에서 비밀리에 다운로드하여 설치합니다. 악성 코드가 설치디면 다음과 같이 루트킷의 형태로 동작하는 파일을 컴퓨터에 설치합니다.

%UserProfile%\ammxv.drv
%ProgramFiles%\Common Files\Syesm.exe

또한, 악성 코드는 컴퓨터에서 시작할 때마다 자동으로 실행되도록 하기 위해 아래와 같이 레지스트리를 변경합니다.

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller\Security
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller\Security

Backdoor.Win32.Buzus.croo는 121.14.13.136.5:80에 연결을 시도하고 hxxp://dns.winsdown.com/cn/Countdown/count.asp 로 POST 요청을 전송합니다.

악성 코드는 IRC를 이용하여 원격을 관리하는 형태이며 공격의 목표는 신용카드와 같은 금융 정보를 빼내는 것입니다.

지난해 9월 이후로 발생하는 대규모 SQL 인젝션 공격은 이제 일반화된 형태로 나타나고 있습니다. 이를 차단하는 방법은 사용자의 입장에서는 보안 패치와 바이러스 백신과 같은 보안 제품을 사용하는 것이며, 웹 관리자의 입장에서는 SQL 인젝션 공격의 원인인 취약점을 해결하는 것입니다. 물론 웹 관리자가 해결한다면 사용자까지 공격이 올 수 없게 되므로 웹 관리자의 주의가 매우 필요합니다.

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG buzus, Mass SQL Injection, Mass SQL Injection Attack, PDF, SQL, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, 대규모 SQL 인젝션 공격, 백도어

트랙백은 하나, 댓글이 없습니다.

카스퍼스키, 연이은 보안사고 발생! 범인은 Unu.

보안은 무료로/웹 보안 2009/12/12 08:17

최근 제가 블로그를 통해 다양한 보안 사고에 대해 포스팅을 하고 있습니다. 그 중에서 가장 많이 오르내리는 인물이 바로 Unu입니다. Unu는 루마니아 출신의 해커로 알려져 있습니다만, 그 이외에 별로 알려져 있지 않습니다. 다만, 국내외 보안 기업의 웹사이트의 보안 수준을 검사하여 취약점이 있는 경우 이를 밝혀서 유명세를 얻고 있습니다.

보안뉴스에서는 Unu와 같은 해커를 '그레이 해커'로 분류한 기사를 송고하기도 했습니다. 어떻게 부르느냐에 따라 그 해커의 성품(!)이 결정된다는 점에서 한번쯤 읽어 볼만한 기사입니다.

'그레이' 해커 '우누'와 한국의 보안 현실

하여튼, Unu는 보안 기업 중에서 특히 카스퍼스키가 맘에 안드나 봅니다(농담!). 지난 2월달에 카스퍼스키 미국판 웹사이트를 해킹하여 데이터베이스 등 전체적인 데이터를 해킹한 바가 있습니다.

그리고, 지난 12월 10일 경에는 포르투칼 웹사이트를 해킹하여 이를 공개했습니다. 관련 기사는 아래 링크를 참고하십시오.

카스퍼스키 포르투칼 홈페이지, SQLi 취약점으로 해킹돼!

그런데, 그런데, 그런데~

카스퍼스키 말레이시아와 싱가포르 홈페이지도 SQLi(SQL Injection) 취약점으로 또다시 확실하게 털렸습니다. 이번에는 매우 자세한 스크린샷을 공개했습니다. 다만, 공개한 취약점은 현재 보완이 된 것으로 알려져 있습니다.

이에 대한 자세한 사항은 아래 링크를 참고하십시오.

http://unu123456.baywords.com/2009/12/10/black-day-to-kaspersky-vulnerable-again-again-exposes-users-and-serial-data/

감사합니다.

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴

TAG Kaspersky, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, UNU, XSS, 우누, 카스퍼스키

받은 트랙백이 없고, 댓글이 없습니다.

카스퍼스키 포르투칼 홈페이지, SQLi 취약점으로 해킹돼!

보안은 무료로/웹 보안 2009/12/10 08:25

최근 유명한 회사 또는 보안에 관련된 기업에 대한 해킹이 만연해 있으며, 이를 둘러 싸고 다양한 해커들이 인터넷 상에 해킹한 내용을 경쟁적으로 공개하고 있습니다.

Unu라는 루마니아 해커는 UN, 카스퍼스키, 잉카 인터넷 등 이름만 대면 알 수 있는 사이트들을 해킹한 바가 있습니다.

이와 함께 c0de.breaker라는 해커는 지난 번에 NASA(미항공우주국)의 일부 웹사이트를 해킹하여 관리자의 권한을 획득한 내용을 공개한 바가 있습니다.

http://moonslab.com/780

지난 12월 초에 c0de.breaker는 실수로 카스퍼스키 포르투칼 홈페이지에 방문하여 카스퍼스키를 Unu라는 해커가 해킹한 사실을 떠올리며서 혹시 다른 취약점이 있는가 분석하여 5분만에 SQLi(SQL Injection) 취약점을 찾아 냈다고 합니다.

Warning: pg_exec() [function.pg-exec]: Query failed: ERROR: syntax error at or near "\" at character 306 in /home1/_sites/wwwkasperskycompt/kaspersky/PHP/IfDBRevendedoresKaspersky.phpclass on line 121
ERRO na execucao da query getRevendedors
ERROR: syntax error at or near "\" at character 306

웹사이트는 PHP언어로 개발되어 있으며, pg_exec() 함수가 포함되어 있으므로 이는 PostgreSQL 데이터베이스로 구성되었음을 확인할 수 있었다고 합니다.

SQLi 취약점을 알고 있다면 이를 통해 손쉽게 데이터베이스의 이름, 테이블, 필드 등의 정보를 손쉽게 빼낼 수 있습니다. 아래 화면은 URL의 매개변수 부분에 '1=1' 코드를 삽입하여 취약점을 제대로 찾아 냈는지 확인하는 과정입니다.

아래 화면은 매개변수의 값을 검사(Sanitization)하지 않아 데이터베이스 이름과 같은 중요한 정보를 노출하는 화면입니다.

카스퍼스키 포르투칼 홈페이즈는 SQLi 취약점을 통해 데이터베이스 이름과 사용자 이름, 라이선스 테이블 등의 정보를 노출된 것으로 보이며 자세한 사항은 아래 링크를 참고하십시오.

http://tinkode.baywords.com/index.php/2009/11/kaspersky-hacked/

한편, c0de.breaker는 라이선스 정보와 같이 세부적인 정보까지 확인하지 않았다고 주장했습니다. 앞에서 언급한 바와 같이 시스템 정보, 데이터베이스, 테이블, 컬럼 이름만 공개했습니다.

하지만, 중요한 사실은 이러한 취약점을 해결하기 위한 업계의 노력이 매우 부족하다는 점입니다. 너무나도 쉽게 뚫리고, 또한 쉽게 해결할 수 있는 문제점을 그대로 둔다는 것은 보안으로 먹고 사는 회사의 올바른 모습이 아니라고 보입니다.

감사합니다.

이올린에 북마크하기(0)

이올린에 추천하기(0)

Posted by 문스랩닷컴