XSS : Cross site scripting - 현재 악성코드 설치 유형이 각 웹서버의 게시물에 대해 Cross site scripting을 이용하여 악성코드를 방문자에게 설치하는 유형이 매우 증가하고 있고 사용자의 쿠키를 외부로 빼내어가 인증 용도로 사용할 수 있는 문제점들이 있으므로 심화 진단하여 제거하는 것이 필요한 취약성
SQL Injection: 일반적인 SQL Injection이 아닌 URL 인자 단위마다 임의의 SQL command를 입력하여 데이터를 빼내어 가거나 DB 권한을 획득하여 정보를 유출 시킴.. 또한 획득한 DB 권한을 이용하여 웹서버의 소스코드를 직접 변경함.
Type Error: 문자를 입력하지 않아야 될 곳에 문자가 입력되는 등의 Vb script error의 경우에도 올해 상반기에 발견된 공격 유형 중 수치를 이용하여 결과를 유출 시키는 유형이 발견됨에 따라 [ 정수를 Ascii code 값으로 치환하여 결과를 리턴하는 유형 ] 강화된 진단 유형이며 일반적인 Input validation check의 개념에 따라 기본 오류를 찾아내도록 구성된 부분
전체적으로 Secure web programming 강화가 필요하며 강화를 위해 간단하게 작성된 스크립트 도구에서는 위의 세가지 문제를 URL 단위의 각 인자마다 체크하는 유형으로 간략하게 구성하여 문제를 확인토록 함.
국내의 현황
악성코드가 유포되는 모든 사이트들은 DB의 권한 탈취를 통해 웹서버의 소스코드를 변경하는 유형이므로 DB에 저장된 회원 정보 및 기밀 데이터들은 안정성을 보장 할 수 없는 상태임. 따라서 회원 DB 다수의 유출은 이미 돌이킬 수 없는 상태에 접어든 것으로 보임. 현재 상태에서 추가적인 악성코드 유포가 되지 않도록 Validation check를 강화하였을 경우 기존에 유출된 회원정보를 이용한 각 서비스 Unit에 대한 어뷰징이 증가 될 것으로 예상됨.
위의 현황과 문제인식에 따라 몇달전 내부적으로 사용하던 Perl script를 공개 하였습니다.
또한 시간이 허락하는한.. 공개적으로 발전을 시키고자 합니다. 따라서 Sourceforge에 며칠전 등록을 하였습니다. 관심이 있는 분들께서는 함께 참여하여 앞으로 보다 나은 환경 구축에 힘 썼으면 하는 개인적인 바램 있습니다.
https://sourceforge.net/projects/gamja
Project 페이지 입니다. 몇달전 공개한 스크립트 그대로 이며 기본적으로는 Web 진단 도구화 할 생각도 있습니다. 비싸고 효율성이 그다지 높지 않은 상용 App를 넘지는 못하더라도 기본 진단은 충실히 할 수 있도록 향후 발전 시킬 수 있었으면 합니다.
많은 참여 바랍니다.
* 공개용 스크립트는 위의 sourceforge 사이트 외에 본 블로그에서도 관련 내용을 확인 하실 수 있습니다. http://blog.naver.com/p4ssion/50009547486
- 바다란 (p4ssion)
'Security Indicator' 카테고리의 다른 글
Top 25 프로그래밍 에러 (0) | 2010.04.27 |
---|---|
Threat of China II - 긴급 경고 (0) | 2010.04.27 |
Small World의 Security ( koobface, Mikeyy). (0) | 2010.04.27 |
Service Attack (ex:Google의 orkut)의 세계화 (0) | 2010.04.27 |
Security Paradigm의 변화와 현재의 위협 (0) | 2010.04.27 |