본문 바로가기

Security Indicator

(267)
Threat of china v2 [SQL Injection ,Attack method] 안녕하세요. 바다란입니다. -본문서는 2006년 9월에 작성한 내용입니다. 지난해에 중국발 해킹 대응 워크샵에서 발표한 자료입니다. 그때 당시에는 문서 공유가 많이 될 줄 알았는데 생각 보다 안되네요. 관련 내용중에서 중국발 해킹 내용 부분만 발췌하여 PDF로 컨버젼한 내용입니다. 지금도 여전히 유효한 부분들이여서 부분적으로 참고 하시면 될 것 같습니다. 본 블로그에도 올려 놓은 http://blog.naver.com/p4ssion/40015866029 게시물에 게시한 내용과 거의 동일합니다. 사실 지난해에 이런 내용들을 발표하고 난뒤에도 워크샵에만 발표를 하고 할 일을 다 했다는 생각을 가지곤 했습니다. 좀 더 적극적으로 하지 않으면 향후에도 여러 위협들이 계속 될 것으로 생각 되어 마인드를 바꾸기로 ..
Threat of China II - 긴급 경고 안녕하세요. 바다란입니다. 금년 5월 부터 유명 사이트에 대한 해킹들이 연이어져 왔습니다. 이 문제의 근본은 여러번 언급 하였지만 Validation Check가 되지 않은 불안전한 프로그래밍으로 인해 발생합니다. 즉 DB서버와 Web Server와는 서로 직접적인 연결이 되어 있습니다. ASP , ASPX , PHP , JSP 등등을 이용하여 DB와 직접 연결하는 구조입니다. 이 부분에서 Validation 체크가 안된다는 것은 DB에 쿼리를 실행하도록 웹서버상의 언어에서 인자를 입력할때 이 인자의 유효성에 대한 체크가 전혀 되지 않아서 문제가 됩니다. ' 문자나 And 문자를 웹 URL의 인자 각각의 값에 덧 붙여 넣었을 경우 500 Error가 발생하거나 Unclosed Quotation Mark와..
Threat of china 공격 분석 및 대책 2002년 8월 초에 작성한 내용입니다. 2006년인 지금도 중국으로 부터의 위협은 대단히 심각한 상황이지만 그 시작은 2002년 부터라고 보는 것이 정답일껍니다. 이때 처음으로 중국 사이트들 돌아다니면서 현황 파악해보길 향후 심각한 위협이 될 것이라고 판단 했었는데.. 문서의 근간은 침해사고를 당한 서버에 올려진 공격툴등을 분석한게 기본 모체인데.. 사고 분석을 하다보니 종합선물세트처럼 되어 있더군요. 이런 문서를 만들면서 나름대로 공부가 많이 되었던 것 같습니다. 가르쳐 주는 사람이 없어도.. 스스로가 배우는 것이 공부이고 배움이라고 생각 되네요. 가르침이 없어도 좋다. 내가 가르침이 된다. 뭐 이런 궤변인가?.. 아무튼 스스로가 배우고자 하고 덤벼들어야만 무언가를 할 수 있는 것이 아닐런지요. 이때..
SQL injection 공격 변화 & 중국발 해킹 요약 * 2010년 4월중에 이전 블로그의 글을 완전이전 하면서 링크 부분들을 손 본 내용입니다. 지금의 현실도 여전히 계속 됩니다. 해결 되지 않은 문제들입니다만 이전의 링크와 게시된 시간을 알고 싶으신 분은 blog.naver.com/p4ssion 으로 방문 하시면 됩니다. 앞으로의 모든 갱신은 본 사이트에서만 이루어 집니다. 감사합니다. 아래의 글에서 2007년 이후 부터 현재까지의 내용은 지금 이 시간에도 동일하게 적용 됩니다. 범위만 국내뿐 아닌 전 세계적으로 확장 되었을 뿐입니다. 이 점을 참고 하시면 될 것 같습니다. 2008.11.7 p4ssion. 한국은 바로미터다. 중국발 해킹의 전초 단계로서 향후의 전 세계로 확대되는 공격 양상을 짚어 볼 수 있는 중요한 척도점이 되어 있다. 그 시작은 2..
Sourceforge 등록 - 효과 있는 웹 스캐너 개발 참여 XSS : Cross site scripting - 현재 악성코드 설치 유형이 각 웹서버의 게시물에 대해 Cross site scripting을 이용하여 악성코드를 방문자에게 설치하는 유형이 매우 증가하고 있고 사용자의 쿠키를 외부로 빼내어가 인증 용도로 사용할 수 있는 문제점들이 있으므로 심화 진단하여 제거하는 것이 필요한 취약성 SQL Injection: 일반적인 SQL Injection이 아닌 URL 인자 단위마다 임의의 SQL command를 입력하여 데이터를 빼내어 가거나 DB 권한을 획득하여 정보를 유출 시킴.. 또한 획득한 DB 권한을 이용하여 웹서버의 소스코드를 직접 변경함. Type Error: 문자를 입력하지 않아야 될 곳에 문자가 입력되는 등의 Vb script error의 경우에도 ..
[컬럼]Small World의 Security- Twitter,Facebook 2009년 4월에 기고한 Facebook과 Twitter의 문제점 들입니다. 그때 당시만 해도 국내에서는 아직 인지도가 떨어질 때였고 사건 사고의 심각성도 모를때 였습니다만 이제는 사용 하시는 많은 분들이 아실 것 같습니다. 이 문제들도 한번쯤 읽어 보시기 바랍니다. “Small world” 의 Security (Koobface, Mikeyy ) - zdnet 컬럼 바다란. Internet Security의 변화는 지금의 시대에 이르러 완연하게 전환점에 도달해 있다. 기술의 발전과 도구의 개념에서 필수적인 매체로 전환됨에 따라 더욱 밀접하게 사회와 그리고 개개의 인간과 연관성을 지니고 있다. 더불어 취약성과 공격이라는 관점도 변화를 역력하게 보여주고 있다. Internet이라는 개념은 이제 생활의 도구에..
Service Attack (ex:Google의 orkut)의 세계화 바다란입니다. 지난해 초에 Web 2.0의 위협요소와 관련하여 여러 곳에서 발표를 한 내용이 있습니다. 그 PPT의 마지막장에 앞으로 다가올 위험요소들은 무엇이 있을까?에 대한 예상을 게재한 바 있습니다. 그 예상은 다음과 같습니다. 2007년 2월에 작성한 예상은 지금도 유효하며 향후에도 3~5년 가까이 유효한 예상입니다. 2006년 하반기에도 비슷한 이슈들이 있었으나 분석가들 대부분은 개별 기업의 문제로 치부하고 단편적인 이슈로 취급을 하였습니다. 세계적인 경우에도 비슷합니다. 국내의 경우에는 당연히 기사를 받아다 쓰는 경우 외에는 없었죠. 이 예상의 근거는 무엇인가 하면 취약성의 발견과 공격 기법의 변화, 파급효과에 따른 기대치에 따라서 예상이 되었습니다. 보다 많은 대상자에게 공격을 하는 패러다임..
RPC Worm 관련 문서 2003년 8월 작성. RPC 관련 대형 취약성 출현시에 위험성을 알리고 대책을 권고하기 위해 간단히 만든 문서.