[MOONSLAB.com]

TYPO3는 국내에서 그리 많이 알려져 있진 않지만, 계속 소개하는 이유는 바로 오픈소스 계열의 웹 애플리케이션의 취약점에 대해 알리기 위해서 입니다.


실제 외국의 사례를 볼 때, Joomla, WordPress와 같이 널리 사용되는 프로그램에서 취약점이 발생할 경우에는 엄청난 위력을 발휘하기 때문입니다.

하여튼, 지난 번에 TYPO3에 관련된 웹 취약점을 언급한 적이 있습니다. TYPE3에서는 XSS(cross-site scripting) 리디렉션, SQL Injection, 인증 및 세션에 관련된 문제점, 정보 누출, 의도적인 코드 실행 등등, 취약점 종합백화점이라고 말할 수 있었습니다.


이러한 문제점을 해결한 버전이 출시되었으며 자세한 사항은 아래 링크를 참고하십시오.


감사합니다.

Microsoft Korea website(http://www.microsoft.co.kr/dynamic/ko/kr) is vulnerable to cross-site scripting(XSS).

Combining phishing technique when exploiting XSS vulnerability, therefore could lead to series security breaches or neak personal informations.


On May, I published that Microsoft website contailed SQL Injection vulnerability. This issue seemed to be resolved silently.

link: http://moonslab.com/930

A Vietnamese hacker called "Thuat Nguyen" had hacked into iTunes accounts and manipulated the rating and sales for his book apps in July.

 

Apple does not confirmed an official statement regarding this hacks. But I guess that attack point of this hacks caused by phishing(such as E-mail) or malware such as keylogger.

 

I assumed that iTunes website may be vulnerable to SQL Injection or XSS attack.

 

Finally, I've found that iTunes website is vulnerable to XSS attack.

<#1. XSS Attack. iTunes likes google? >

 

While there are a huge numbers of XSS attack vectors, secure coding (input validation, output escaping) can defend against XSS attack(and SQL Injection).

 

Please email me(moonslab@gmail.com) if you’re security administrator of Apple or iTunes site.

.

컨텐츠 저작툴 중 하나인 TYPO3에서 웹 관련된 취약점이 발견되어 패치가 진행된 상태입니다. 사용 중인 경우에는 최대한 빨리 업그레이드를 진행하시기 바랍니다.

최근 TYPO3 개발자들은 TYPO3에서 XSS, SQL 이젝션, 리디렉션, 코드 삽입 및 실행과 같이 치명적인 문제점을 발견하여 해결했다고 전했습니다.

따라서, 기존 버전을 각각 4.1.14, 4.2.13, 4.3.4, 4.4.1로 업그레이드해야 합니다.

다운로드: http://typo3.org/download/packages/

기술정보: http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012

며칠 전에 카스퍼스키가 영국의 유명한 언론인 BBC 뉴스 사이트를 차단한 적이 있습니다. 물론, 카스퍼스키 사용자들이 난리를 쳐서 급하게 오진을 처리하긴 했습니다. 이에 대한 자세한 사항은 아래 자료를 참고하십시오.



BBC 사이트를 추가적으로 살펴 보던 중에 동일한 유형의 SQL 인젝션 취약점을 발견하게 되어 간략하게 정리합니다.


앞서 언급했던과 동일한 것으로 파악되고 있으며, 화이트 해커의 윤리 상 더 이상의 공격을 진행하지 않았습니다.

만약 진행한다면 데이터베이스 정보를 빼낼 가능성도 매우 높다고 볼 수 있습니다.

혹시, 해당사 관계자 연락처 아시는 분 있으면 연락해서 문제점 해결했으면 좋겠습니다.

감사합니다.

시만텍, 소포스, 카스퍼스키와 같은 유명한 보안 기업에서는 일정한 기간 즉, 분기나 반기마다 보안 정책이나 뉴스, 트렌드에 대한 보고서를 정기적으로 발간합니다.

최근 발간한 시만텍의 메시지랩스의 보고서에 따르면 악성 코드를 유포하는 사이트의 약 90%가 정상적인 웹사이트인 것으로 밝혀져 충격을 주고 있습니다.

기존의 경향대로라면 해커들이 고유한 목적으로 사용하기 위해 도메인을 생성하고 이를 이용하여 악성코드를 다운로드하거나 공격하게 하는 일련의 행동을 보여왔습니다. 하지만, 이렇게 도메인은 생성하게 되는 경우에는 금방 탄로가 나게 되어 차단되는 단점이 있다고 볼 수 있습니다.

하지만, 최근 월드컵 웹사이트의 해킹 건과 같이 정상적인 웹사이트에 악성코드를 유포하는 페이지나 스팸 메시지를 보여주는 페이지를 은밀하게 업로드하여 이용하는 행태가 더욱 증가하고 있습니다.

이렇게 악성 코드를 유포하게끔 하기 위한 공격 방식은 XSS(Cross-site scripting), SQL 인젝션, FTP 정보 누출 등을 이용하는 것으로 알려지고 있습니다.

이중 XSS와 SQL 인젝션은 웹 취약점의 가장 대표적인 사례로 손꼽이고 있으며, 아직까지도 제대로 해결되지 못하고 있습니다. 물론, 이 취약점들은 악성 코드를 대규모로 유포시키는 Mass SQL Injection 취약점을 포함하고 있습니다.

FTP에 관련된 부분으로는 계정정보가 누출되거나, ACL을 제대로 관리하지 못하는 경우에 발생하는 것으로 예상됩니다.

감사합니다.

"The Pirate Bay"라는 단어를 아시는 분이라면 비트토런트(BitTorrent)라는 프로그램에 매우 익숙해져 있다고 볼 수 있습니다. ^^;

"The Pirate Bay"는 BitTorrent 파일(시드)을 연동, 추적하는 웹사이트로 최대 최대 규모를 가지고 있습니다. 트래픽 기준으로 알렉사에서 현재 97위를 유지할 정도로 엄청난 사이트입니다.

하여튼, 아르헨티나로 알려진 해커 그룹이 "The Pirate Bay" 웹사이트의 사용자 데이터베이스에 접근하고, 관리자 인터페이스까지도 장악한 것으로 알려졌습니다. 공격을 위해 사용된 취약점은 바로 SQL 인젝션 취약점입니다.

누출된 데이터는 사용자 이름, MD5로 암호화된 비밀번호, 이메일 주소, IP 주소 정보 등이 포함되어 있습니다.

최근 SQL 인젝션 취약점을 이용하여 대규모로 공격이 이뤄지는 Mass SQL Injection 공격이 서너번 발생했습니다.

외국의 유명한 보안 기업인 M86 Security Lab은 Pushdo 봇넷이 발송하는 스팸에서 Asprox 의 변형된 악성 코드가 발견되었다는 소식을 공개했습니다. 원래 Asprox 악성 코드는 스팸을 발송하는 용도였지만 이 번에는 IIS/ASP 플랫폼으로 구성된 웹사이트에 대규모로 감염되는 현상이 새롭게 나타났습니다.  이 번주에 들어 새롭게 출현한 Asprox의 변형된 악성 코드들은 스팸을 보낼 뿐만 아니라 SQL 인젝션 공격을 수행하는 것으로 확인되었습니다.

현재 다음과 같이 3개의 사이트가 공격에 사용되고 있습니다.


이 도메인들은 Asprox 봇의 컨트롤 서버를 인식하는데 사용되고 있으며, 컨트롤 서버에서는 스팸 템플릿 및 메일 수신자에 대한 정보도 제공합니다.


현재까지 입수된 공격 코드를 살펴 보면 아래 화면과 같이 SQL 인젝션 명령어를 포함하고 있는 것을 확인할 수 있습니다.

한편, Asprox 봇넷에서는 IIS/ASP로 작성된 웹사이트를 찾기 위해 구글의 엔진을 이용하고 있는 것도 확인되었습니다.

SQL 인젝션 공격에 이용되는 인코딩된 코드는 아래와 같습니다.

위의 코드 중에 노랑색으로 표시된 부분을 디코딩하면 아래와 같은 SQL 구문이 나타납니다.

위의 하면에서 빨간색 사각형으로 표시된 부분을 디코딩하면 아래와 같이 공격 코드를 유포하는 사이트를 알아 낼 수 있었습니다.

이 코드를 이용하여 구글에서 검색해 보면 현재 감염되어 있는 웹사이트의 현황 및 숫자를 파악할 수 있습니다.

위 화면에서 빨간색으로 표시된 것은 국내 사이트로 Aspox 봇넷의 공격으로 침해된 상태를 나타냅니다. 이 사이트를 방문해 보면 아래와 같이 공격된 코드가 아직도 남아 있는 것을 확인할 수 있습니다.
<경고: 해당 사이트에는 아직 공격 코드가 남아 있는 상태이므로 방문하지 않는 것이 좋습니다>

구글을 통해 검색해 본 결과, 현재 6천 여개의 URL이 감염되어 있으며, Asprox의 변형 코드가 출현할 때마다 침해 당하는 사이트가 증가할 것으로 예상됩니다.

필자가 자주 언급하는 사항이지만, 최근에는 웹 보안의 가장 기본적이면서도 오래된 고질병인 SQL 인젝션과 XSS 공격이 다시 활개를 치고 있습니다. 아울러 하나의 공격 방식만을 고집하는 것이 아니라 스팸 + SQL 인젝션 공격과 같이 2가지 이상의 상이한 공격 벡터를 보이면서 이를 차단하는 방법에 대한 추가적인 연구가 필요할 것으로 생각됩니다.

감사합니다.

출처: http://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asp

Azure는 마이크로소프트가 개발하는 클라우드 기반의 플랫폼을 의미합니다. 최근 Azure에서 개발자가 참고할만한 보안 관련 문서가 공개되어 소개합니다.

특히 SDL(Software Development Lifecycle) 과정 중에서는 다음과 같은 사항을 개발자에게 교육 및 권고합니다.


즉, 클라우드 시스템에서 웹 보안의 가장 큰 문제점인 XSS, SQLi를 해결하는 것이 급선무임을 알 수 있습니다.

문서 다운로드: http://download.microsoft.com/download/7/3/E/73E4EE93-559F-4D0F-A6FC-7FEC5F1542D1/SecurityBestPracticesWindowsAzureApps.docx

출처: http://www.darkreading.com/vulnerability_management/security/app-security/showArticle.jhtml?articleID=225700272&cid=RSSfeed_DR_News

웹사이트에 관련된 취약점의 여파가 나날이 커지고 있습니다.

최근 발간된 OWASP Top 10 2010년도 판에서도 이러한 경향을 반영하고 있습니다. 이 문서에 따르면 웹사이트의 취약점 중 가장 수위를 달리고 있는 것이 바로 SQL 인젝션(Injection)과 XSS(크로스 사이트 스크립팅) 공격입니다.

 
<그림 1. OWASP 2007년도와 2010년도 버전의 취약점 비교>

SQL 인젝션 및 XSS 취약점은 웹 사이트의 취약점 가운데 가장 많은 영향력을 미치고 있으며 그 피해도 매우 막대합니다. 최근에 발간된 IBM X-Force 2009 보안 경향 및 위험 보고서에 따르면 아래 도표와 같이 취약점의 약 40-50% 정도를 SQL 인젝션과 XSS 취약점이 차지하고 있습니다.

이 두가지 취약점을 해결하기 위해 보안 업계에서는 다양한 노력을 수년째 지속하고 있습니다. 웹 관련 취약점을 막기 위해서는 다음과 같은 조치가 요구됩니다.

• 보안 프로그래밍(Secure Programming)
• WAF(Web Application Firewall) 도입 및 운영
• 꾸준한 보안 점검(Q/A) 및 툴 이용

이 중에서도 WAF는 현재 운영하는 웹사이트에 웹 취약점이 있는 경우에 긴급하게 도입할 때에 유용하게 사용할 수 있는 솔루션이며, 국내외에 다양한 제품이 판매되고 있습니다.

하지만, 웹 취약점을 해결하기 위해서는 웹 소스 코드에 대한 초기 개발시에 보안에 입각한 프로그래밍이 진행되어야 합니다. 즉, 웹 소스를 고치지 않고서는 웹 취약점을 막을 수 없다는 것입니다.

일 예로 WAF를 설치하여 현재에 안전하게 웹사이트를 보호하고 있더라도, 새로운 웹 취약점이나 공격 방법이 나타났을 때에는 무용지물이 될 가능성이 높습니다. 따라서, 개발시의 웹 소스에 대한 보안 검토가 반드시 필요합니다.

웹 사이트는 정적으로 유지되는 것이 아니라 새롭게 페이지가 추가되고, 제거되는 성질을 지니고 있습니다. 따라서, 이벤트와 같이 웹 사이트 내에 새로운 페이지가 추가되는 경우에는 기존 웹사이트에 취약점이 없더라도 새롭게 추가될 가능성이 있습니다.

따라서, 웹 개발 프로젝트가 진행될 때에는 정기적으로 Q/A 및 보안 검수를 거치고, 문제점이 발견될 때에는 이 문제점에 대한 원인 및 해결책을 프로그래머 및 PM 등이 충분히 검토하고 이해해야만 문제점을 해결할 수 있으며, 장차 새로운 개발 과정이 진행되더라도 취약점이 있는 웹 소스를 개발하는 실수를 줄일 수 있습니다.


하지만, 웹 사이트가 방대한 경우에는 웹 사이트의 보안 검토에는 많은 인력과 시간, 그리고 경비가 필요합니다. 또한, 웹 취약점을 점검하여 찾아 내는 수많은 웹 스캐너들이 판매 및 무료로 제공되고 있지만, 사이트가 커질수록 이 툴을 이용하여 보안을 검토하기에는 시간적, 툴의 한계 등으로 인해 현실적으로 사용하기 어렵습니다.

이러한 현실적인 문제점을 가지고 있는 사이트를 소개하고자 합니다.

모두가 다 알고 있는 사이트, 바로 마이크로소프트(Microsoft) 웹사이트입니다. 아마도 MS는 수많은 웹사이트, 국가별 웹사이트를 가지고 있으며, 이들 사이트를 관리하는데에는 엄청난 인력과 비용이 들 거라는 것은 명약관화합니다.

이렇게 큰 규모로 운영되는 웹사이트에서는 보안에 입각한 프로그래밍이 초기부터 진행되지 않는다면 아래의 화면과 같이 치명적인 취약점을 노출시킬 수 밖에 없습니다.


이 취약점은 웹 사이트 내에 포함되어 있는 데이터베이스에 바로 접속하는 아주 크리티컬한 부분은 아니지만, 그러한 공격 경로 및 기타 다른 방법으로 웹사이트를 공격할 수 있는 엔트리 포인트나 경로로 이용될 수 있다는 점을 명심해야 합니다.

감사합니다.




PS: 마이크로소프트 측으로 해당 취약점을 메일로 통보했습니다.