오픈 소스 기반의 블로그 서비스인 워드프레스(WordPress)에서 다수의 보안 취약점이 발견되었으며, 이러한 문제 해결을 포함하는 4.8.2 버전이 출시되었다.


WordPress 4.8.2에서 해결한 보안 취약점은 다음과 같다.


  1. $wpdb->prepare() can create unexpected and unsafe queries leading to potential SQL injection (SQLi). WordPress core is not directly vulnerable to this issue, but we’ve added hardening to prevent plugins and themes from accidentally causing a vulnerability. Reported by Slavco

  2. A cross-site scripting (XSS) vulnerability was discovered in the oEmbed discovery. Reported by xknown of the WordPress Security Team.

  3. A cross-site scripting (XSS) vulnerability was discovered in the visual editor. Reported by Rodolfo Assis (@brutelogic) of Sucuri Security.

  4. A path traversal vulnerability was discovered in the file unzipping code. Reported by Alex Chapman (noxrnet).

  5. A cross-site scripting (XSS) vulnerability was discovered in the plugin editor. Reported by 陈瑞琦 (Chen Ruiqi).

  6. An open redirect was discovered on the user and term edit screens. Reported by Yasin Soliman (ysx).

  7. A path traversal vulnerability was discovered in the customizer. Reported by Weston Ruter of the WordPress Security Team.

  8. A cross-site scripting (XSS) vulnerability was discovered in template names. Reported by Luka (sikic).

  9. A cross-site scripting (XSS) vulnerability was discovered in the link modal. Reported by Anas Roubi (qasuar).



취약점은 대부분 SQL Injection과 Cross-site Script로 OWASP Top 10에서 선두에 위치하는 심각한 문제점이다.


따라서, 하위 버전 사용자들은 빠른 시일내에 최신 버전으로 업데이트하길 권고한다.



출처: https://wordpress.org/news/2017/09/wordpress-4-8-2-security-and-maintenance-release/


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    음.


    http://www.darkreading.com/application-security/waratek-provides-absolute-detection-of-sql-injection-attacks/d/d-id/1319546


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      SQL Injection 취약점을 통해 웹서비스 서버의 권한 장악, 악성코드 유포, 내부 시스템 침입, DB 유출 등, 많은 문제점을 가지고 있는 치명적인 웹 취약점으로 XSS와 더불어 가장 많이 회자되는 취약점입니다.


      SQLi 공격은 1998년도에 최초로 발견됐다고 알려져 있지만, 현재에도 여전히 진행형 Still 인 문제점입니다.



      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        국내 특히 P2P, 언론, SNS 사이트를 통해 악성코드 유포의 사례가 몇년 째 꾸준히 지속되고 있지만 제대로 대응 및 조치가 이뤄지지 못하는 실정입니다.

        이러한 문제가 국내뿐만 그런가 했더니, 해외에도 매한가지로 발생하는 것을 보면, 참으로 답답하기도 하고 씁쓸한 마음뿐입니다.


        해외 사이트 중에서 축구에 관련된 유명한 사이트 중의 하나인 Goal.com에서 악성코드를 유포하는 사고가 지난달 27-28일 발생했습니다. 참고로, Goal.com 사이트는 Alexa(인터넷 방문자 측정 및 랭킹 사이트) 기준 379위를 차지할 정도로 트래픽이 많으며 하루에 약 21만-23만 페이지의 방문 기록을 가지고 있습니다.

        문제는 공격자가 Goal.com 웹사이트의 컨텐트를 자기 입맛대로 바꿀 수 있었다는 것으로 이를 토대로 보면, 공격자가 서버를 어느정도 장악한 것으로 예상되고 있습니다.

        또한, 사용자가 감염될 수 있도록 3개의 도메인으로 된 경유지 링크(pxcz.cz.cc, opofy7puti.cz.cc, justatest.cz.cc)를 삽입하고, 이를 통해 결론적으로 CVE-2010-1423(자바), CVE-2010-1885(MS 도움말 센터 HCP), CVE-2009-0927(PDF), CVE-2006-0003(MS MDAC) 취약점을 이용하는 코드가 포함되어 있습니다.

        이러한 취약점은 대부분 사용자가 직접 업데이트를 해야 하는 수고가 따라야 하기 때문에 컴퓨터에 익숙하지 않은 사용자들이 많이 감염될 가능성이 높다고 볼 수 있습니다.


        그렇다면 이러한 문제의 원인은 무엇일까 고민해 봐야 할 것입니다.

        원인은 바로 웹 소스의 취약점 중의 하나인 SQL Injection으로 짐작되고 있습니다. 자료에 따르면 Mass SQL Injection의 형태를 띠고 있지 않는 것으로 언급되고 있어 공격자가 타겟화된 공격을 벌인 것으로 생각됩니다.

        이러한 SQL Injection 취약점은 나온지 약 15년 정도 되는 꽤 오래된 구식의 취약점에도 불구하고 여전히 명성을 떨치고 있습니다.

        현대 캐피탈, 소니 PSN 해킹 등등.

        언제쯤 이러한 문제의 해결이 이뤄질련지... ...

        감사합니다.

        자료 출처: http://threatpost.com/en_us/blogs/popular-sports-site-goalcom-serves-malware-050311


        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          국내외에서 가장 많이 사용되는 데이터베이스 엔진을 골라보면 범용적인 목적에는 MySQL, MS-SQL 그리고 상용 및 대규모, 공공쪽에서는 Oracle이 많이 사용됩니다.

          SQL Injection 공격에 대한 내성으로 따져 보면, MySQL, MS-SQL은 100% 취약하며 Oracle은 상대적으로 약간 더 안전한 편입니다.

          하지만, 해커들의 꾸준한 노력으로 인해 Oracle에 대한 공격이 타 데이터베이스와 마찬가지로 발생할 날이 가까워 오고 있습니다.

          오라클은 SQL Injection과 같은 공격과 기타 데이터베이스 공격을 차단하여 데이터베이스의 컨텐츠에 대한 보안을 강화하기 위해 Oracle Database Firewall(ODF)를 출시합니다.

          먼저 Oracle Enterprise Linux 제품에 적용되게 되며 IBM DB2, Sybase ASE, MS-SQL에서도 지원할 예정이라고 합니다.

          오라클은 2010년 5월에 합병한 데이터베이스 방화벽 전문 기업인 Secerno의 기술을 이용하여 개발한 것으로 알려지고 있습니다.

          오라클에서 구현할 수 있는 데이터베이스 보안은 당연히 데이터베이스 방화벽이라고 말할 수 있을 것입니다. 하지만, 원인을 해결하지 않고 공격 코드만을 보고 판별하는 방법은 이미 타 벤더들이 제공하는 WAF와 동일하기 때문에 큰 효과를 거둘 수 있을 지는 미지수입니다.

          감사합니다.

          출처: http://www.databasejournal.com/news/article.php/3924691/Oracle-Debuts-Database-Firewall.htm
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            예전에 BBC 웹사이트의 해킹소식과 함께 여전히 SQL Injection 취약점이 존재한다는 글을 쓴 적이 있습니다.


            지난 화요일에 BBC 웹사이트 해킹에 대한 추가적인 뉴스가 올라와서 간단히 정리합니다.

            보안 기업인 WebSense에 따르면 BBC에서 운영하는 동영상 사이트에서 방문자들에게 은밀하게 악성코드를 유포하도록 해킹된 사실을 발견했다고 전했습니다.

            BBC의 6 Music과 1Xtra 웹사이트에서는 악성코드를 유포하는 도메인(맨 끝이 .cc)로 끝나는 익스플로잇이 <iframe> 태그형태로 삽입되었습니다. 유포되는 악성코드는 Phoenix exploit으로 이미 2007년도에 최초 출현한 이후에 꾸준히 배포되고 있는 실정입니다. 또한, 감염 상태를 손쉽게 파악할 수 있는 통계 정보도 수집하는 코드도 포함되어 있습니다.

            <그림 #1. WebSense의 블로그에 올라온 문제의 삽입 코드>

            웹사이트가 이렇게 감염된 경우에는 충분한 성능을 가진 안티바이러스(백신)을 설치하여 사용하지 않거나 최신 보안 패치가 적용되어 있지 않은 경우에는 사용자도 모르게 악성코드에 감염되게 되며, 보통 계정과 같은 개인 정보의 누출과 DDoS 공격에 사용되는 봇(bot)으로 이용될 가능성이 높습니다.

            특히 웹사이트가 유명하면서도 합법적으로 서비스가 되고 있는 상황, 게다가 엄청난 방문자수를 자랑하는 사이트에서 악성코드를 유포하기 때문에 더욱 심각하다고 볼 수 있습니다.

            또한 웹사이트에서는 SQL Injection 취약점으로 인한 코드 삽입이라기 보다는 비밀번호 누출과 같은 다른 방식의 공격이 사용되었을 수도 있다고 추측되고 있습니다. 즉, SQL Injection 취약점으로 이용하여 추가적인 공격을 진행한 것으로 추측됩니다.

            한 편, 국내의 상황을 보면 더욱더 심각한 편입니다. 법적인 문제 등으로 인해 정확히 밝힐 수는 없지만, 꽤 많은 웹사이트가 BBC와 마찬가지로 공격을 당하고 있습니다. 물론, 공격에 사용되는 도메인의 형태는 약간 다릅니다.

            다운로드되는 악성코드에 대응하는 안티바이러스의 결과는 다음과 같습니다.

            http://www.virustotal.com/file-scan/report.html?id=4a0ab371e6c6dd54deeab41ab1b77fa373d2face149523dfd183d669b31da6bc-1297784293


            감사합니다.

            출처: http://www.theregister.co.uk/2011/02/15/bbc_driveby_download/

             

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              인터넷 채팅 사이트는 매춘이나 불륜의 온상지가 된지 이미 오랩니다. 국내도 마찬가지이지만 이번에 캐나다에서 운영하고 있는 온라인 데이트 사이트인 PlentyofFish(이하 POF)에서 SQL 인젝션 취약점으로 인해 대규모의 개인정보 누출 사고가 발생했습니다.

              이 사고는 POF의 CEO인 Markus Frind가 자신의 블로그에 해킹에 관련된 정황을 서술하면서 밝혀졌습니다.

              POF는 월방문자가 1억 4,500만명에 이를 정도로 유명한 사이트로 이번 사고로 인해 2,800만명 이상의 정보가 누출되었습니다.

              사고의 범인은 아르헨티나 출신의 보안 전문가인 Chris Russo로, 러시아의 해커와 함께 해킹을 주도하고 있다고 주장하고 있습니다.

              Russo에 따르면, 지난 1월 21일에 POF 사이트에서 SQL Injection 취약점을 발견했으며 이 취약점을 통해 사용자 이름, 비밀번호, 주소, 메일 주소, 전화번호, 페이팔 계정 정보 등 약 2,800백만 명 이상의 정보를 확인할 수 있었다고 합니다.

              해킹을 한 이유는 자신 및 자신이 관리하는 팀을 POF에서 고용하기를 요구하는 것으로 파악되고 있으며 금액은 1년에 약 10만 달러 이상을 요구한다고 Frind가 블로그에서 언급했습니다. 물론, 고용하지 않으면 백업한 데이터베이스를 인터넷에 공개한다고 엄포를 놓았습니다.

              만약 정보가 공개된다면, 이 사이트를 이용한 방문자의 행태 및 성향이 공개될 가능성이 매우 높으며 특히 유부남/녀의 불륜과 같이 사회통념상 문제의 소지가 있을 만한 부분이 알려진다면 사회적으로 많은 파장을 불러 올 것으로 예상됩니다.

              한편, 유명한 보안 기업인 White Hat의 공동 창업자인 Jeremiah Grossman는 Russo가 유튜브에 공개한 해킹 동영상을 검토한 결과 공격에 이용할만한 심각한 취약점은 보이지 않는다고 밝혔습니다.

              하지만, 그 이후에 Frind의 블로그에서는 SQL Injection 공격이 있었다는 POF의 공식적인 답변이 올라와 있습니다.

              이처럼 대형 사이트에서는 보안 취약점 중 특히 웹 취약점을 해결하기 위해 스캐너와 보안 코딩을 적용해가고 있지만, 완벽하게 막을 수 없다는 사실을 한번 더 상기하는 사례라고 볼 수 있습니다.

              관련 기사:  http://www.scmagazineus.com/dating-site-plentyoffish-hacked-to-expose-passwords/article/195382/
              관련 블로그: http://plentyoffish.wordpress.com/2011/01/31/plentyoffish-hacked/
              유튜브 동영상: https://www.youtube.com/watch?v=7RBYkk5Vq4M&feature=youtu.be (삭제됨)

              감사합니다.
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                워렌 버핏이라는 유명한 투자가가 살고 있는 동네가 바로 오마하(Omaha)라는 곳으로, 버렌 버핏을 오마하의 현인(Oracle of Omaha)라고 불리기도 합니다.

                하지만, 최근 오마하의 공립학교에서 해킹으로 인해 개인정보가 누출되는 사고가 발생하여 간단히 정리해 봅니다.

                정체불명의 해커가 오마하 공립학교의 현직 및 전직 교직원 약 4,300 명 이상의 사회보장번호(우리나라의 주민등록번호)와 개인정보가 누출되었을 것으로 알려지고 있습니다.

                공격은 오마하 학교에서 운영하는 Retirement System 웹사이트에서 발생했으며 지난 12월 21일에 처음 알려졌습니다. 하지만, 얼마만큼의 정보가 누출되었는지 파악할 수 없는 상태라고 합니다.

                해커는 개인의 사회보장번호뿐만 아니라 수혜자에 관한 정보까지 포함되어 있는 데이터베이스에 침투했지만, 다행이도 신용카드 정보는 보관하지 않아 누출되지 않았습니다.

                더욱 어이없는 문제는 해당 사이트는 관리자만이 로그온하여 접근할 수 있는 웹사이트의 형태인데도 불구하고 SQL Injection 취약점을 이용하여 손쉽게 침투할 수 있었다는 것입니다.

                현재 웹 공격의 경향은 로그온을 하지 않아도 충분히 공격할 수 있는 Mass SQL 인젝션 공격이 대세를 이루고 있습니다. 하지만, 특정한 사이트를 노리는 경우에는 로그온 절차가 있떠라도 SQL 인젝션과 같은 취약점이 있는지 다시 한번 검토하여 예방하는 방안이 최선임을 명심해야 할 것입니다.

                출처: http://www.southwestiowanews.com/articles/2011/01/15/around_the_region/doc4d3087e8be773707787918.txt

                감사합니다.




                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  테크노트는 제로보드(Zeroboard)와 같은 성격의 게시판 소스입니다. 지난 2주 전에는 제로보드의 구버전 취약점을 이용한 악성코드 배포 공격이 유행했었습니다.

                  지난 1월 1일 한 해커가 exploit-db.com에 테크노트의 SQL Injection 취약점 및 공격 패턴에 대해 공개한 바가 있습니다.

                  따라서, 테크노트를 사용하는 고객은 반드시 소스 수정을 통해 문제점을 해결해야 합니다.


                  감사합니다.

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    <사진. 개인정보가 누출된 개인에게 보낸 안내문>

                    뉴욕에 위치한 버스 관광 회사인 CitySights NY는 이달 초 SQL Injection 취약점으로 인해 약 11만 개의 데빗카드의 정보가 유출되었다고 발표했습니다.

                    사고는 9월 26일에 발생했으며 10월 25일이 되어서야 사고가 발생한 사실을 알아차리게 되었다고 합니다.

                    이 보안 사고는 현재 처리 중에 있으며, 버스 회사는 누출된 정보에 대한 추가적인 피해를 막기 위해 1년간 카드 정보 모니터링 서비스와 할인 쿠폰(코드는 012345)을 제공하면서 어느정도 마무리가 되어 가고 있습니다.

                    이와 같이 아무리 시스템으로 잘 되어 있더라도 SQL Injection과 같은 웹 취약점으로 인해 귀중한 개인정보가 손쉽게 유출될 수 있다는 점은 몇년전부터 제기되어 왔지만, 국내외적으로 아직도 이러한 문제점을 많이 가지고 있다는데에 더 심각성이 있다고 생각됩니다.

                    감사합니다.

                    출처: http://www.thewhir.com/web-hosting-news/122110_110000_Credit_Card_Numbers_Stolen_in_Tour_Company_Web_Server_Hack
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory