'XSS'에 해당되는 글 15건

  1. 2010/03/01 웹애플리케이션의 취약점 67%가 아직도 패치되지 않아 - IBM 보안 보고서
  2. 2010/01/11 DragonWAF, 소프트웨어 웹방화벽
  3. 2009/12/12 카스퍼스키, 연이은 보안사고 발생! 범인은 Unu.
  4. 2009/12/06 나사(NASA) 웹사이트, SQL 인젝션 공격으로 해킹당해
  5. 2009/12/02 MS 테크넷 사이트에도 XSS 취약점 발견!
  6. 2009/10/20 WASC, 웹애플리케이션 보안 통계 2008 발간
  7. 2009/10/20 MS, XSS 취약점을 예방하는 웹 방어 라이브러리 출시(WPL) 예정
  8. 2009/09/12 RBS WorldPay 결제 시스템, SQL 인젝션 공격으로 데이터베이스 노출돼!
  9. 2009/09/05 2009년 상반기 웹 보안 사고 현황(WHID 보고서) (1)
  10. 2009/08/15 반기문 총장의 메시지 변조 사건-UN 사이트는 해커들의 놀이터 (1)

웹애플리케이션의 취약점 67%가 아직도 패치되지 않아 - IBM 보안 보고서

보안은 무료로/웹 보안 2010/03/01 10:25


최근에 IBM에서 X-Force 2009 경향 및 위험 보고서(IBM X-Force 2009 Trend and Risk Report)가 발간되었습니다.

보고서에 따르면, 2009년도에 발생한 보안 취약점 중에 가장 큰 부분이 바로 웹 애플리케이션에 관련된 부분이며 이러한 취약점은 2009년도 말까지 67%나 되는 많은 수가 여전히 패치되지 않았다고 합니다.

보고서를 간단히 정리하면 다음과 같습니다.

1. 발견된 취약점의 수가 약간 감소하였습니다. 2000년도에 비해 보면 매우 높은 수치이지만 2008년도 중반 이후부터 발견되는 취약점의 수가 줄었습니다.

2. 모든 취약점 가운데 웹 애플리케이션 취약점은 49%를 차지했으며, XSS와 SQL 인젝션 취약점이 주로 발생했습니다.

3. 웹애플리케이션 취약점 중에서 XSS와 SQL 인젝션 취약점이 가장 많이 발생하였습니다.

감사합니다.
이올린에 북마크하기(0) 이올린에 추천하기(0)
Posted by 문스랩닷컴

새 트위터 글

    TAG Cross-site scripting, IBM, Security, SQL Injetion, SQL 주입, sql 주입공격, SQLi, X-force, XSS
    받은 트랙백이 없고, 댓글이 없습니다.

    DragonWAF, 소프트웨어 웹방화벽

    보안은 무료로/웹 보안 2010/01/11 17:50


    최근의 공격 성향을 보면, 일반 OS나 네트워크 단의 공격보다는 웹을 기반으로 하는 공격이 증가하고 있으며, 특히 치명적인 영향을 미치는 것이 특징입니다.

    이러한 웹에 관련된 취약점은 대부분 소스를 보안에 맞게 작성하지 않아서 발생합니다. 따라서, SQL 인젝션이나 XSS 공격 등을 차단하기 위해서는 소스를 수정해야 하지만, 현실적으로 소스를 신속하게 수정하기란 어렵습니다. 또한, 사이트가 계속 변경되고 발전되어 간다면 이 과정에서 소스를 수정하기도 힘듭니다.

    이러한 경우에는 WAF(Web Application Firewall)이라는 장치를 사용하여 웹 서버의 앞단에서 웹 공격으로 판단되는 패킷(요청)을 차단하는 새로운 형태의 보안 서비스가 출시되어 사용되고 있습니다.

    WAF에는 하드웨어 즉 장비 기반이 있고, 소프트웨어로 운영 체제 내에서 프로그램으로 돌아가는 형태가 있습니다. 하드웨어 기반은 가격이 비싼데 반해, 다양한 서버를 통합적으로 커버할 수 있다는 장점이 있습니다. 소프트웨어 기반은 가격은 저렴하지만 서버마다 설치하여 운영해야 하는 관리적인 부담이 있습니다.

    지금 소개하려는 제품은 소프트웨어 웹 방화벽 중 하나인 DragonWAF 입니다. 이 제품은 중국에서 개발된 것으로 알려져 있습니다. 지원하는 운영체제 및 IIS 버전은 다음과 같습니다.
    • 윈도우 NT - IIS 4.0
    • 윈도우 2000 - IIS 5.0
    • 윈도우 XP 프로페셔널 - IIS 5.1
    • 윈도우 2003 - IIS 6.0

    하지만 윈도우 2008에서 제공하는 IIS 7.0은 아직 지원하지 않습니다.

    DragonWAF에서 차단할 수 있는 웹 공격의 유형은 다음과 같습니다.

    1. SQL Injection
    2. Server-Side Include
    3. Directory Indexing
    4. Path Traversal
    5. Cross-Site Scripting
    6. Buffer Overflow
    7. LDAP Injection
    8. Phishing
    9. HTTP Response Splitting
    10. Content Spoofing
    11. Predictable Resource Location
    12. Denial of Service
    13. Application Fingerprinting
    14. Insufficient Session Expiration
    15. Session Fixation
    16. Web Server Fingerprinting
    17. Abuse of Functionality (emails, spiders, data theft)
    18. Command Injection

    사용자 인터페이스는 중국에서 만든 관계로 중국어(간체, 번체)와 영어를 지원하지만, 한국어는 별도로 지원하지 않습니다.

    마지막으로 일반 소프트웨어 제품과 마찬가지로 평가판을 제공하고 있습니다. 평가판은 아래 링크에서 일정 양식을 입력한 후에 사용하실 수 있습니다.

    http://www.dragonsoft.com/FreeTool/WAF/validation.php

    감사합니다.

    이올린에 북마크하기(0) 이올린에 추천하기(0)
    Posted by 문스랩닷컴

    새 트위터 글

      TAG Firewall, Phishing, SQL Injeciton, SQL 인젝션, SQLi, WAF, web application firewall, XSS, 방화벽, 웹방화벽
      받은 트랙백이 없고, 댓글이 없습니다.

      카스퍼스키, 연이은 보안사고 발생! 범인은 Unu.

      보안은 무료로/웹 보안 2009/12/12 08:17


      최근 제가 블로그를 통해 다양한 보안 사고에 대해 포스팅을 하고 있습니다. 그 중에서 가장 많이 오르내리는 인물이 바로 Unu입니다. Unu는 루마니아 출신의 해커로 알려져 있습니다만, 그 이외에 별로 알려져 있지 않습니다. 다만, 국내외 보안 기업의 웹사이트의 보안 수준을 검사하여 취약점이 있는 경우 이를 밝혀서 유명세를 얻고 있습니다.

      보안뉴스에서는 Unu와 같은 해커를 '그레이 해커'로 분류한 기사를 송고하기도 했습니다. 어떻게 부르느냐에 따라 그 해커의 성품(!)이 결정된다는 점에서 한번쯤 읽어 볼만한 기사입니다.

      '그레이' 해커 '우누'와 한국의 보안 현실


      하여튼, Unu는 보안 기업 중에서 특히 카스퍼스키가 맘에 안드나 봅니다(농담!). 지난 2월달에 카스퍼스키 미국판 웹사이트를 해킹하여 데이터베이스 등 전체적인 데이터를 해킹한 바가 있습니다.

      그리고, 지난 12월 10일 경에는 포르투칼 웹사이트를 해킹하여 이를 공개했습니다. 관련 기사는 아래 링크를 참고하십시오.

      카스퍼스키 포르투칼 홈페이지, SQLi 취약점으로 해킹돼!


      그런데, 그런데, 그런데~

      카스퍼스키 말레이시아와 싱가포르 홈페이지도 SQLi(SQL Injection) 취약점으로 또다시 확실하게 털렸습니다. 이번에는 매우 자세한 스크린샷을 공개했습니다. 다만, 공개한 취약점은 현재 보완이 된 것으로 알려져 있습니다.


      이에 대한 자세한 사항은 아래 링크를 참고하십시오.

      http://unu123456.baywords.com/2009/12/10/black-day-to-kaspersky-vulnerable-again-again-exposes-users-and-serial-data/

      감사합니다.
      이올린에 북마크하기(0) 이올린에 추천하기(0)
      Posted by 문스랩닷컴

      새 트위터 글

        TAG Kaspersky, SQL Injection, SQL 인젝션, sql 주입공격, SQLi, UNU, XSS, 우누, 카스퍼스키
        받은 트랙백이 없고, 댓글이 없습니다.

        나사(NASA) 웹사이트, SQL 인젝션 공격으로 해킹당해

        보안은 무료로/웹 보안 2009/12/06 19:23


        최근 유명한(익히 알려져 있는) 웹사이트들이 SQL Injection 취약점으로 공격받아 충격을 주고 있습니다.

        12월 7일에는 c0de.breaker 라는 해커가 미국의 나사(Nasa.org) 웹사이트를 해킹하고 이에 대한 정보를 공개했습니다.

        http://tinkode.baywords.com/index.php/2009/12/nasa-gov-hacked-full-access/

        공개한 내용을 살펴 보면, 나사 웹사이트 중 2개의 사이트를 해킹하였습니다. 또한, 데이터베이스의 덤프까지 확인하여 사용자 계정 정보 테이블의 정보까지 공개했습니다.



        어떤 방법을 통해 해킹했는지에 대한 언급은 없었지만, 공개한 스크린샷을 통해 SQL Injection 공격일 가능성이 높은 것으로 생각됩니다.

        특히, 웹사이트 내에서 사용하는 컨텐츠 관리 시스템의 관리자 권한까지 탈취 당한 것으로 보여져 충격을 주고 있습니다.


        감사합니다.
        이올린에 북마크하기(0) 이올린에 추천하기(0)
        Posted by 문스랩닷컴

        새 트위터 글

          TAG SQL Injection, SQL 인젝션, sql 주입공격, SQLi, XSS, 웹해킹, 해킹
          받은 트랙백이 없고, 댓글이 없습니다.

          MS 테크넷 사이트에도 XSS 취약점 발견!

          보안은 무료로/웹 보안 2009/12/02 09:24


          최근 시만텍, 잉카인터넷 등과 같이 대형 또는 보안 회사들의 웹사이트에 취약점이 발견되어 한바탕 소동이 난 적이 있습니다.

          이번에는 기술 자료의 보고인 MS 테크넷(TechNet) 사이트 내에 있는 스크립트 센터 갤러리에서 XSS 취약점이 발견되었습니다.

          http://gallery.technet.microsoft.com/ScriptCenter/en-us/site/search?f%5B0%5D.Type='Tag&f%5B0%5D.Value=XSS 


          테크넷의 XSS 취약점을 밝혀낸 사람은 TeamElite라고 하는 해킹 그룹이며, 이 그룹은 WHO, 플레이보이 루마니아, TwitterCounter.com, 뉴욕타임즈, AVG 불가리아, Telegraph.co.uk 등과 같은 사이트의 취약점을 공개한 적이 있습니다.

          <그림 1. XSS 취약점을 이용하여 특정 문자열을 팝업 창으로 표시하는 전형적인 시연 화면>

          <그림 2. 구글 페이지를 임베디드한 화면>

          참고로, XSS 취약점은 SQL Injection 공격과 함께 인터넷 상에서 가장 많이 공격하는 취약점으로 OWASP에서 수위를 차지합니다.

          출처: http://security-sh3ll.blogspot.com/2009/11/microsoft-technet-vulnerable-to-cross.html
          이올린에 북마크하기(0) 이올린에 추천하기(0)
          Posted by 문스랩닷컴

          새 트위터 글

            TAG Microsoft, OWASP, Script Center, SQL Injeciton, SQLi, Technet, XSS, 마이크로소프트, 스크립트 센터, 테크넷
            받은 트랙백이 없고, 댓글이 없습니다.

            WASC, 웹애플리케이션 보안 통계 2008 발간

            보안은 무료로/웹 보안 2009/10/20 14:59


            웹보안에 대한 연구를 진행해 오고 있는 WASC(Web Application Securtiy Consortium)에서는 웹애플리케이션 보안 통계 프로젝트 2008 보고서를 발표했습니다. 이 보고서는 웹사이트의 취약점을 공동으로 해결하기 위한 노력의 일환으로 웹애플리케이션의 취약점에 대해 보다 쉽게 이해하기 위함입니다.

            통계 보고서에는 약 12,186 개의 웹 애플리케이션에서 97,554 개의 취약점이 진단되었습니다. 다음은 통계 데이터를 분석한 결과를 요약한 것입니다.

            • 가장 널리 퍼진 취약점은 XSS(cross site scripting)입니다. 그 뒤를 정보 누출, SQL 인젝션, HTTP Response Splitting이 차지하고 있습니다.

            • 자동화된 진단 도구에서 웹애프리케이션을 검사한 결과 긴급 또는 치명적인 오류를 포함할 가능성은 49%입니다. 전문가가 분석한 경우에는 96%에 이릅니다.
            • 관리에 따른 문제점은 시스템 개발의 오류에 비해 약 20% 이상 발생할 가능성이 높습니다.
            • 99% 이상의 웹애플리케이션이 PCI DDS 표준 요구사항과 맞지 않습니다. 또한 PCI DSS가 정한 ASV 검사 범주에 맞지 않는 웹애플리케이션이 48%에 이릅니다.
            • 자동화된 진단도구에서는 웹사이트당 3개의 취약점이 발견되었지만 화이트박스 방식(신뢰할 수 있는 전문가의 소스 분석 및 실행파일 분석 방식)의 분석을 통해서는 91개의 취약점이 발견되었습니다.
            • 2007년도와 비교할 때에 SQL 인젝션 취약점은 13%, XSS 취약점은 20% 감소했습니다만, 정보 누출은 24% 증가했습니다. 하지만 호스트가 자동으로 감염될 수 있는 가능성은 7%에서 13%로 증가했습니다.
            통계 정보는 WASC가 주관하는 웹애플리케이션 보안 평가 프로젝트를 통해 만들어졌으며 다음의 회사들이 참여했습니다. Blueinfy, Cenzic with Hailstorm, DNS with WebInspect, Encription Limited, HP Application Security Center with WebInspect, Positive Technologies with MaxPatrol, Veracode with Veracode Security Review, WhiteHat Security with WhiteHat Sentinel.

            보다 자세한 사항은 아래 링크에서 다운로드받을 수 있습니다.

            다운로드 링크
            이올린에 북마크하기(0) 이올린에 추천하기(0)
            Posted by 문스랩닷컴

            새 트위터 글

              TAG asv, Cross Site Scripting, Information Leakage, PCI DSS, SQL Injection, SQL 인젝션, WASC, web application, Web Application Security consortium, Web Application Security Statistics, XSS, 웹 애플리케이션, 정보 누출
              받은 트랙백이 없고, 댓글이 없습니다.

              MS, XSS 취약점을 예방하는 웹 방어 라이브러리 출시(WPL) 예정

              보안은 무료로/웹 보안 2009/10/20 14:16


              SQL 인젝션 취약점과 XSS(cross site scripting)  취약점은 웹 보안에 있어 가장 핵심적인 부분이라고 말할 수 있습니다. 두가지 취약점 모두 입력값(매개변수 등등)을 확인하는 과정이 빠져 있어 이를 이용하여 공격하게 됩니다.

              웹애플리케이션 보안의 측면에서는 다양한 진단 툴(스캐너)가 오픈 소스 형태인 무료로, 또는 유명한 보안 회사에서는 수천달러 이상의 고가에 제품으로 판매되고 있습니다.

              하지만, 이러한 취약점은 웹애플리케이션 뿐만 아니라 컴파일되는 응용 프로그램에게서도 발생할 수 있는 가능성이 있습니다.

              최근 마이크로소프트(Microsoft)는 새로운 안티 XSS 라이브러리의 출시를 약속했으며 조만간에 공개될 예정이라고 합니다. 아직까지 자세한 사항에 대해 알려지지 않았습니다만, 정보 보안 팀의 아닐 레부루(Anil Revuru)는 기존의 안티-XSS(AntiXss) 라이브러리를 새롭게 한 WPL(Web Protection Library)로 출시한다고 합니다.

              WPL은 기존의 안티-XSS 라이브러리에 SRE(Security Runtime Engine)이 추가되었으며, LDAP 인젝션과 CSS(Cascading Style Sheets) 인젝션을 완화하는 기능이 추가되어 있습니다. SRE 모듈에는 입력값에서 올바른 SQL 쿼리인지 진단하기 위해 특별한 SQL 파서를 사용하여 SQL 인젝션 시도를 진단하고 차단하는 새로운 HTTP 모듈이 포함되어 있습니다.

              WPL을 적용하기 위해서는 ASP.NET으로 개발 환경을 바꾸는 것이 좋다고 MS가 추천하고 있습니다. WPL CPL은 수주 내에 다운로드 링크가 공개될 예정입니다.

              WPL v1.0의 주요한 기능은 다음과 같습니다.
              • 인코딩 및 변수 확인(sanitization)기능을 제공하는 새로운 Encoder, Sanitizer 클래스 제공.
              • AntiXss 클래스 제외. 하위 호환성을 위해 메소드는 제대로 동작하지만 AntiXss로 컴파일할 때 경고 메시지 표시.
              • 성능 향상을 위해 Anti-XSS 모듈 업데이트
              • 입력 값에서 SQL 쿼리문을 진단할 수 있도록 새로운 SQL 인젝션 진단 모듈 추가
              • 비주얼 스튜디오에서 손쉽게 구성 파일을 설정할 수 있도록 UI 변경
              • SRE에서는 새로운 완화 방침을 구현할 수 있도록 확장된 API 공개
              참고로, MS Anti-XSS 라이브러리 3.1 버전은 아래 링크에서 다운로드할 수 있습니다.

              다운로드 링크

              이올린에 북마크하기(0) 이올린에 추천하기(0)
              Posted by 문스랩닷컴

              새 트위터 글

                TAG Anti-XSS, Cross Site Scripting, SQL Injection, SQL 인젝션, Web Protection Library, WPL, XSS, 비주얼 스튜디오
                받은 트랙백이 없고, 댓글이 없습니다.

                RBS WorldPay 결제 시스템, SQL 인젝션 공격으로 데이터베이스 노출돼!

                보안은 무료로/웹 보안 2009/09/12 11:07


                최근 국제적인 금융 사이트를 초토화시키고 있는 루마니아의 해커가 있습니다. 이름하여 Unu, 이 해커는 거의 일주일에 한건씩 새로운 해킹 사실을 블로그에 공개하고 있습니다. 특히, SQL Injection 취약점을 이용하여 공격합니다.

                공개되는 사이트들도 대부분 인터넷 상거래, 은행, 결제 시스템 등 민감한 부분들입니다. 오늘 소개할 해킹 사이트는 스코틀랜드 그룹의 로얄 은행이 운영하는 RBS WorldPay 결제 사이트입니다.

                RBS WorldPay 사이트는 인터넷 상의 물건을 사고팔때 사용하는 신용카드, 현금 입출금 등을 이용하여 하루에 수백만 건의 금융 거래를 지원하는 사이트입니다.

                하여튼, RBS WorldPay 사이트의 특정 페이지에서 매개변수의 확인 과정없이 바로 진행되는 약점을 이용하여 데이터베이스의 정보를 볼 수 있습니다.

                <그림 #1, #2. 운영 중인 데이터베이스의목록이 유출된 화면>

                <그림 #3. 관리자 webphp의 ID 및 해시된 비밀번호가 노출된 화면>

                <그림 #4. 관리자 admin의 비밀번호가 평문으로 저장되어 노출된 화면>

                <그림 #5. 이메일, 전화번호 등의 정보가 노출된 화면>

                <그림 #6. 빌게이츠도 리셀러도 등록된(!) 화면>

                Unu는 이러한 사항을 RBS 측에 알렸습니다. 하지만, RBS는 이러한 문제가 발생한 사이트는 실제 운영 중이 아닌 테스트용 서버라고 밝혔다고 합니다. 그 이후에는 아래와 같이 접속이 제한되도록 소스가 변경된 상태입니다.


                Unu가 사용하는 공격 방법을 정리하면 다음과 같습니다.

                1. 직접 또는 특정 프로그램을 이용하여 SQL Injection 취약점이 있는 링크를 찾아 낸다.

                2. 링크에서 SQL 구문을 입력하여 데이터베이스의 이름, 그리고 관리자의 ID/비밀번호를 알아낸다.

                3. 그 이후에는 마음먹은 대로 공격을 진행한다.


                요약: 블로그에서 SQL Injection / XSS 공격에 대해 다양한 글을 게시하고 있지만, 실제 상업용 사이트를 운영하는 곳에서는 체감하지 못하는 것으로 보입니다. 국내 사이트들도 외국보다 못하면 못했지, 나을바 없다고 생각합니다만, 

                잘못 해킹하면 감방(!)갈까봐 공격이나 공개하기가 두렵네요. Nick을 하나 두고 그걸로 활동해야 하나 하는 고민입니다.

                자료 출처: http://unu1234567.baywords.com/2009/09/10/rbs-wordpay-hacked-full-database-acces/ 















                이올린에 북마크하기
                Posted by 문스랩닷컴

                새 트위터 글

                  TAG SQL Injection, SQL 인젝션, SQL 주입, XSS, 보안
                  받은 트랙백이 없고, 댓글이 없습니다.

                  2009년 상반기 웹 보안 사고 현황(WHID 보고서)

                  보안은 무료로/웹 보안 2009/09/05 18:06



                  요약: 2009년 상반기 웹 침해 사고에 대한 분석 자료가 발표되었습니다. 올해에는 주로 Web 2.0 사이트들이 해커들의 주요 목표가 되고 있습니다. 하지만, 기업들은 웹 공격에 대한 로그 분석조차 어려울 정도로 적절한 보안 대책을 강구하지 못하고 있으며, 특히 서버의 대한 공격이 아닌 사용자 단에서 공격이 이루어지고 마지막으로 공격의 방법이나 침투 수단이 보다 다각화되고 있습니다.

                  매년 보안 사고에 대한 다양한 자료가 발표되고 있는 가운데, 올해 상반기에 벌어진 보안 사고 중에 특히 웹 애플리케이션에 대한 보안 침해 사고 보고서가 발표되었습니다.

                  WHID(Web Hacking Incedents Database)가 바로 그것인데, Breach Security Labs에서 주관합니다. 주요 목적은 웹 해킹 사고에 대한 인식 제고와 더불어 웹 해킹 보안 사고의 통계적인 정보를 제공하기 위함입니다.  

                  다만 WHID에서 분석하는 보안 사고는 극히 제한적이어서 2007년도에는 49건, 2008년도에는 57건, 그리고 2009년도 상반기에는 모두 44건을 분석하였습니다. 따라서 분석 결과는 절대적인 숫자에 연연하지 않고 상대적인 분석에 기초하고 있습니다.

                  참고로, 버그트랙, 시큐니아 등에서는 보안 사고 및 취약점에 대한 방대한 데이터베이스를 제공하여 이에 대한 발생 순위 등의 다각적인 정보를 제공합니다.

                   WHID에서 분석한 자료에 따르면 2009년도 상반기의 웹 해킹 경향은 다음과 같습니다.
                  • 보안 사고의 19%에 이를 정도로, 웹 2.0 사이트에 대한 공격에 급격하게 증가했습니다.
                  • 기업은 웹 애플리케이션의 로그를 분석할 만한 충분한 능력을 갖추지 못하고 있으며 또한 공격에 대해 적절히 대응할 수 있는 관리 체계 또한 마찬가지입니다.
                  • 공격의 형태가 웹 2.0의 주요한 특징인 사용자가 게시(배포)하는 컨텐트를 이용하고 있습니다. 웹 사이트의 인증을 뚫고 들어가는 공격은 2번째 순위를 차지합니다.
                  • 속이는 수단으로는 웹사이트 변조와 같은 일반적인 공격 형태와 함께 악성 코드를 배포하는 등 다각화되고 있습니다.

                  1. 분석 대상 국가 별 비율

                    아래 그림은 WHID에서 분석한 보안 침해 사고의 발생 국가에 대한 비율입니다. 특성상 영어를 주로 사용하는 국가의 사고만을 제한적으로 분석했습니다.


                  2. 웹 해킹의 주요 목적

                  웹 해킹의 주요 목적은 웹사이트 변조와 악성코드 배포가 1위를 차지하고 있으며, 그 뒤를 기밀/개인정보 누출이 차지하고 있습니다.

                  즉, 컴퓨터에 적절한 보안이 강구되지 않은 인터넷 사용자가 침해당한 사이트를 방문하는 동안에 사이트에서 악성 코드를 내려받아 컴퓨터에 설치되거나, 해커의 장난감 격인 봇으로 전락하는 예가 대표적입니다.


                  3. 해커의 주요 공격 경로

                    일반적으로 Cross Site Scripting(XSS)가 주요한 공격 방법으로 알려지고 있습니다. 참고로, XSS 공격은 OWASP의 수위를 차지하고 있습니다.

                  하지만, 실제 해커들의 공격 수단은 SQL 인젝션 공격(19%)로 1위를 차지하고 있습니다.


                  SQL Injection 공격의 유형 또한 변화하고 있습니다. 

                  • 사용자 인증이 반드시 필요한 웹 사이트가 아니라 로그인을 하지 않고도 사용이 가능한 웹 2.0 환경의 웹 사이트를 주로 대상으로 하고 있습니다. 
                  • 자동화된 공격 도구를 사용하여 보안이 취약한 사이트를 무차별적으로 공격합니다. 이러한 형태는 작년 8-10월 경에 국내외에 유행했으며, 올해 8월 하순 경에는 국내가 아닌 국외 특정 국가를 대상으로 하는 MASS SQL 인젝션 공격이 있었습니다.(주: 이에 대한 자료는 http://moonslab.com/735 을 참고하십시오)
                  • CSRF(Cross-Site Reqeust Forgery) 공격이 트위터와 같은 SNS 네트워크를 통해 웜을 배포하는 수단으로 떠오르고 있습니다. 일례로 지난 4월 달에 웜 코드가 트윗(트위터의 글)로 배포되어 한바탕 소동이 있은 적이 있습니다.
                  • 공격 경로를 알 수 없는 공격의 비율이 증가하고 있습니다. 이는 웹 트래픽을 볼 수 있는 즉 로그를 분석하는 방법을 기업에서 적절하게 보유하고 있지 못한 원인과 해킹 사실을 숨기는 기업의 행태에 기인합니다.

                  4. 공격 대상

                   해커들이 공격의 목표로 삼는 조직은 웹 2.0 사이트를 운영하는 SNS 기업이 1위를 차지하였습니다. 작년에 1위를 차지했던 공공/국가 기관은 순위가 4위로 내려갔습니다. 또한, 상업, 기술, 인터넷 등의 조직들도 꽤 높은 비율을 차지합니다.



                  5. 마무리 지으면서

                  전문가들은 CSRF와 같은 고급 해킹 기술에 대해 강조하지만, 실제 인터넷 상에서 벌어지는 해킹은 SQL 인젝션, 기밀 누출과 같은 기초적인 취약점을 목표로 하고 있습니다. 또한 보다 효율적인 공격을 위해 자동화 툴을 개발하여 사용하고 있으며, 이를 바탕으로 트위터와 같은 SNS 사이트에 대한 XSS/CRSF 공격이 늘어나고 있습니다.
                  이올린에 북마크하기(0) 이올린에 추천하기(0)
                  Posted by 문스랩닷컴

                  새 트위터 글

                    TAG CSRF, OWASP, SQL Injection, SQL 인젝션, sql 주입공격, twitter, XSS, 웹 해킹, 웹해킹, 트위터
                    받은 트랙백이 없고, 댓글 하나가 달렸습니다.

                    반기문 총장의 메시지 변조 사건-UN 사이트는 해커들의 놀이터

                    보안은 무료로/웹 보안 2009/08/15 09:45


                    인터넷 업계의 보안의 화두인 SQL Injection 공격이 국내외 사이트를 초토화시키고 있습니다. 일반 회사 웹사이트, 언론, 게임 업체 웹사이트 등 하루에도 수백수천 개의 사이트들이 피해를 당하고 있으며, 가장 중요한 피해는 웹 사이트를 방문하는 사용자가 자기도 모르게 악성 코드를 다운로드하여 실행되어 감염된다는 점입니다.
                    SQL Injection 공격은 게시판과 같이 데이터베이스를 사용하는 웹 환경에서 주로 발생합니다. 데이터(글)를 쓰기 위해서는 사용자와 같이 일정한 권한을 가지고 접근해야 하지만, 이러한 취약점을 이용하면 사용자의 로그온 등을 하지 않고도 또는 관리자의 권한을 갖고 있지 않더라도 데이터의 변조가 가능한 공격입니다.

                     
                    UN(United Nations)이 운영하는 사이트에서는 약 2년 전에 발견된 SQL Injection 취약점이 여전히 남아 있는 것으로 알려져 충격을 주고 있습니다.

                    더 충격적인 사실은 반기문 사무총장의 발언이 SQL Injection 공격으로 인해 변조되었다는 주장입니다. 2007년 8월에 반기문 총장이 중동 지역에서 미국과 이스라엘의 조치에 대한 메시지를 발표했는데 SQL Injection 공격으로 메시지가 변경된 적이 있다고 합니다.

                    참고로, UN 웹사이트들은 네이버와 같이 하나의 큰 사이트를 어느 부서(가령 보안팀)에서 총괄하여 관리하는 형태가 아닙니다. UN 웹사이트는 수직적인 형태가 아니라 다양한 부문, 각 국가 등이 포함된 수평적인 구조로 구성되어 있으며, 이러한 넓은 형태의 사이트에서는 사소한 보안적 취약점이 나타나더라도 해결하기가 어려우며, 동일한 취약점을 사이트 내의 다른 서버에서도 종종 발견되기도 합니다. 즉, 총괄적으로 관리할 수가 없다는 것입니다.

                    이러한 문제점을 해결하기 위해서는 소스 차원에서 검증을 거쳐야 하고, 전문 적인 보안 스캐너 프로그램이나 서비스를 이용하여 웹 사이트의 보안을 점검해야 하지만, 사실상 검사하는데에도 수일 또는 그 이상의 걸리기 때문에 검사 자체도 아주 어렵다고 볼 수 있습니다.

                    반기문 총장님한테 "보안팀" 구성하시라고 메일이라도 드리고 싶은 마음이 굴뚝~같습니다.
                    이올린에 북마크하기(0) 이올린에 추천하기(0)
                    Posted by 문스랩닷컴

                    새 트위터 글

                      TAG SQL, SQL Injection, SQL 인젝션, SQL 주입, UN, XSS, 반기문, 반기문사무총장, 반기문총장
                      트랙백은 하나, 댓글 하나가 달렸습니다.
                      ◀ 이전페이지 1 2 다음페이지 ▶