본문 바로가기

sqlinjection

(13)
세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고.. 의견 세계 50만대 이상의 웹 서비스 봇넷 배포지로.. 그리고.. 관련기사: http://www.thetechherald.com/article.php/201033/6024/TTH-Labs-New-SQL-Injection-attack-hits-thousands-of-sites 일상적인 일중의 하나로 치부되고 있는 대규모 해킹은 지금도 맹위를 떨치고 있다. Mass SQL Injection 도구에 의한 해킹 피해는 나날이 도를 더해가고 있는 상황에서 우리가 할 수 있는 일은 무력하기만 하다. 규모가 있는 사이트들은 자체 역량 및 외부 보안업체의 도움을 통해 보안성을 강화하고 문제를 해결 하지만 현재 피해를 입는 사이트들은 일부 보안이 된 사이트들을 포함하여 역량이 부족한 사이트들이 피해를 입고 있다. 결국 피해는..
[컬럼] 웹서비스 보안의 불편한 진실 - Mass SQL Injection -zdnet 게재 컬럼입니다. 과연 인터넷 웹 서비스는 안전한가? 일상적으로 접속해 정보를 상호 소통을 하는 중요한 매개체로 자리잡은 웹서비스는 그만큼의 신뢰도를 가지고 있다고 할 수 있을까? 여기 보려 하지 않고 외면 하고자 하는 불편한 진실이 있다. 이미 오래된 이야기지만 지금까지도 진행형 이고 앞으로도 심각성이 더 높아 질 수 밖에 없는 불편한 진실이다. 아직도 많은 이들의 관심 밖에서 이뤄지는 현실이 여기있다. 안전한 웹 서비스로 가는 길은 멀고도 험하다. 그러나 대부분이 쉽게 생각한다. 공격자들은 항상 그 빈틈을 노리고 끊임없이 공격한다. 일반 인터넷 사용자들은 자신의 아이디와 패스워드가 노출 되어 금전적인 손실이 발생 하거나 피해를 입었을 경우에만 민감하게 반응한다. 개인 PC에 설치된 악성코..
[컬럼] 7.7 DDos 핵심은 무엇인가? [zdnet 컬럼 게재글입니다.] DDos 문제의 핵심과 변화 (에스토니아, 7.7) - 바다란 7.7 DDos 관련된 의견들이 1년이 지난 지금 시점에 다시금 많은 분야에서 회자 되고 있다. 문제에 대한 분석과 적절한 대응 체계에 대한 논의가 계속 되고 있는 시점에 DDos 논란의 핵심은 무엇인가 하는 명제에 대해서 명확한 설명은 아직 잘 설명 되지 않고 있는 듯 하다. DDos에 대한 핵심적인 이해 분야에 대한 접근 방법도 상이한 점이 많이 있다. 공격 주체는 분명히 개인의 PC이며 공격을 받는 대상은 기업 및 기관의 서비스를 대상으로 하고 있다. 그러나 현재 논의 되고 있는 대책의 대부분은 공격 받는 대상의 보호대책을 강화하는 측면에만 머물러 있다. DDos 대응 장비의 도입과 체계의 도입은 단기적..
SQL injection 공격 변화 & 중국발 해킹 요약 * 2010년 4월중에 이전 블로그의 글을 완전이전 하면서 링크 부분들을 손 본 내용입니다. 지금의 현실도 여전히 계속 됩니다. 해결 되지 않은 문제들입니다만 이전의 링크와 게시된 시간을 알고 싶으신 분은 blog.naver.com/p4ssion 으로 방문 하시면 됩니다. 앞으로의 모든 갱신은 본 사이트에서만 이루어 집니다. 감사합니다. 아래의 글에서 2007년 이후 부터 현재까지의 내용은 지금 이 시간에도 동일하게 적용 됩니다. 범위만 국내뿐 아닌 전 세계적으로 확장 되었을 뿐입니다. 이 점을 참고 하시면 될 것 같습니다. 2008.11.7 p4ssion. 한국은 바로미터다. 중국발 해킹의 전초 단계로서 향후의 전 세계로 확대되는 공격 양상을 짚어 볼 수 있는 중요한 척도점이 되어 있다. 그 시작은 2..
[컬럼]Mass sql injection, 대응과 현실 2008.9 . p4ssion입니다. 지난 글에서 ( 한참 됐습니다. ^^) Mass sql injection 관련된 내용에 대해서 언급을 드린 적이 있습니다. 그 이후 업데이트를 할려고 생각 하다가 개인적인 사정으로 작성하지 못했습니다. 오늘 생각나서 잠시 써봅니다. http://www.itjungle.com/two/two082708-story05.html http://www.technewsworld.com/story/Mass-SQL-Attack-a-Wake-Up-Call-for-Developers-62783.html?welcome=1209498513&welcome=1210717878 http://www.theregister.co.uk/2008/05/21/china_sql_injection_attack/ http:..
중국발 사이버 침해 - 조직적, 대규모 뭐 하루 이틀 된 이야기도 아닙니다. 이미 5~6년 전 부터 징후가 있었고 그 이후 타임워프 하듯이 대규모로 공격 인력이 늘고 기법도 고도화 되어 왔습니다. 이젠 대규모적인 대응 없이는 불가능하다고 볼 수 있습니다. 단편적인 대응과 사법기관 공조 만으로는 빙산의 일각도 제거하기 어렵습니다. 체계적이고 근원적인 부분에 대해서 장기적인 처방이 필요한데.. 여유와 인내심을 가지고 정책을 진행하고 방향성을 제시 할 수 있을런지가 가장 중요한 부분입니다. 대책 부분에 대해서는 하두 여러번 언급 했었지만 시행에는 상당 시일이 걸리고 시간이 지난 지금에서도 유효한 대응은 적어 보입니다. 앞으로 어떻게 될런지.. http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=1..
악성코드 유포 - manian , dvdprime 그리고 사용자의 무관심 http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000718196§ion_id=105§ion_id2=283&menu_id=105 manian 사이트가 해킹을 당해 악성코드 유포지로 활용이 되었다. 해당 사이트를 닫은 이후 재점검 하고 다시 올렸지만 이제는 또 다른 사이트다.. dvdprime ... 아무리 말을 해도 들으려 하지 않는자에게는 소용이 없다. 공격 기법도.. 또 방어 대책도.. 모두 있음에 하지 않는 것은 아직 피해 및 여파를 모르기 때문일 것이다. 국내 온라인 게임에 대한 해킹이 증가하고 있고 그 원인의 대부분은 사용자 PC를 공격하는 악성코드 때문이라 할 수 있다. 1차적으로는 보안상의 취약성..
12.25 1998 X-mas 12.25 1998 -p4ssion@gmail.com zdnet 2009년의 연말에 뜬금없이 10년도 더 지난 날짜의 크리스마스를 언급한다. 1998년 12.25일에는 RFP (Rain Forest Puppy)에 의해 최초로 DB와 웹애플리케이션간의 SQL Injection에 대한 발표가 이루어 졌다. 해당 발표는 프랙이라는 해커들의 온라인 잡지를 통해 이루어 졌다. 현재의 인터넷 서비스를 곤경에 처하게 하는 SQL Injection 문제는 벌써 11년이나 된 문제인 것이다. 오래된 이 문제는 지금 어떤 모습이고 어떤 영향을 미치고 있을까? 우리는 어디쯤에 있는가? 그 당시에는 누구도 지금과 같은 사태를 예견하지 못했었다. 불과 3~4년 전만해도 전문가들은 전문가들 나름대로 관심을 두지 않았고 비전문가들..