본문 바로가기

보안

(207)
공개] SQL Injection and XSS 진단 tool 안녕하세요. 바다란입니다. 2006년 작성내용입니다. XSS 진단 및 SQL Injection 진단 스크립트를 공개 합니다. 특별한 것은 아니구요.. 지난해에 급하게 작성하여 사용 했던 스크립트이니 참고 하시면 될 것 같습니다. 국내에서는 아직도 많은 사이트들이 해킹을 당하고 있는 실정입니다. 지금의 해킹은 페이지 변조가 아닌 내부 침입을 통해 정보를 가져 가거나 악성코드를 심는 형태로 나타나고 있는데 진입점을 막지 못하기 때문에 계속 문제가 될 수 밖에 없습니다. 이 스크립트는 완전하지는 않으나 100% 중에서 80% 이상의 문제 발견이 가능하므로 대응에 도움이 될 것입니다. 대기업이나 여력이 있는 기업에서는 상용 스캐너를 통해 문제의 진단 및 수정을 진행 하고 있으나 소규모 사이트들은 그런 여력이 없..
해커의 길 II 해커의 길 II 해커의 육성 부분에 대해서는 할 말이 많습니다. 90년대 후반 부터 2000년 초반 까지 약 2~3년간 활발하게 활성화 되어 인력들이 척박한 환경에서도 많이 나왔습니다. 지금 그 인력들 뭐하고 있을까요?.. 해커로서가 아니라. 조직에 동화된 이후에 조직에 끌려 갈 수 밖에 없고 또 가장 중요한 연구문화가 활성화 될 수 없는 환경 때문에 다들 떠납니다. 또 그런 여유를 허가 하지도 않고. 연구가 없이 어찌 취약성을 발견할 수 있고 미래 위협을 대처할 수 있나요?.. 자격증 많이 가진 사람을 보안분야의 유능인력이라고 할 수 있을까요?. 막상 사고나면 전부 나몰라라 하는 판국에.. 참 재밌습니다. 정보의 제공이나 동향의 예측은 이제 많은 인력이 투입된 국가기관에서 해야 할 것으로 봅니다. 음지..
분석(10) 구글 초비상. 예견된 위협 adsense worm 외신 관련 기사 ( Google Adsense 관련된 웜 이슈) http://news.zdnet.co.uk/security/0,1000000189,39291643,00.htm http://www.bigmouthmedia.com/live/articles/googles-adsense-threatened-by-trojan.asp/4321/ 전자신문 기사. http://www.etnews.co.kr/news/detail.html?id=200712210129 바다란 입니다.. 오랜만에 뵙습니다. 지난번 마지막 글 (http://blog.naver.com/p4ssion/50024269739 )에서 IT 서비스 보호를 위한 제안 방안에서 서비스 보호를 위해서는 전역적인 대응체제 구성이 필요하다는 의견을 드렸습니다. ..
분석(9) iphone , cyber war and application attack flow 바다란입니다. 8월이 다 가고 있습니다. 시간은 흐르고 issue도 변화하고 있습니다. 그러나 올해 초에 예상 했던 근본 취지에서는 아직 벗어나지 않고 있습니다. 주요 이슈는 무엇이고 지금에 발생 하고 있는 세계적인 이슈들과 어떤 관계가 있을까요? 올해 초에 Web 2.0 관련된 보안 이슈들을 전망하고 향후 예측을 한 큰 주제는 네 가지 입니다. 한 가지 더 세계적인 추세(?)라고도 볼 수 있는데 정보 유출의 수단으로 Office 계열의 문서에 Zeroday 공격코드를 심은 사회공학적인 해킹의 증가도 추가 할 수 있겠습니다. 물론 Application에 대한 공격 증가로 포함 시킬 수 있는 범주이지만..~ 1. Application에 대한 공격 증가 2. Ubiquitous Attack 3. 특정 서비스..
분석(8) 다이하드4.0 과 Cyber Terror 바다란 입니다. 색이 다른 부분은 전부 2002년의 공개 문서의 내용을 발췌한 내용입니다. ^^ 항간에 다이하드 4.0의 직접적인 해킹 이슈가 화제가 되고 있습니다. 이미 여러 게시물들에서 관련 내용이 언급 되어 추가적인 언급이 불필요한 상황이 되었습니다만 전체적으로 어떤 이슈들이 있는지 살펴 보는 것도 의미 있는 일이 아닐까 생각 됩니다. 지금에 이르러서는 이러한 공격 유형 들이 실제적으로 피해를 입힐 수도 있다고 봅니다. 그렇다면 대응방안은 무엇이고 무엇을 고려해야 하는지에 대해서도 알아야 된다고 생각 됩니다. 영화상에서 보면 주요 기반시설(에너지 ,전력 ,교통)에 대한 통제가 나옵니다. 이게 불가능한 것이냐? 그렇지 않다고 봅니다. 간단한 예들도 이미 존재하고 있으며 그만큼 위험한 상황속에서 ( 몇..
분석(7) 해외금융 파밍을 통한 대형 금융사고 안녕하세요. 바다란 입니다. 금일자에 발견된 새로운 기사들을 모니터링 하다보니 다음과 같은 기사가 눈에 띄입니다. 일부 주요 부분을 발췌하면 다음과 같습니다. http://www.donga.com/fbin/output?f=todaynews&code=b__&n=200702260116&main=1 《국제 금융 사기단이 ‘파밍(pharming)’이라는 신종 해킹 기법을 이용해 세계 65개 이상의 금융회사와 전자상거래 업체 고객들의 PC를 공격하고 개인정보를 훔치는 대형 금융사고가 일어났다. 25일 국내외 인터넷 보안 전문가와 금융계에 따르면 이 같은 해킹은 19일 호주에서 처음 일어났으며 급속히 확산돼 하루 평균 1000명 이상의 PC 접속자를 위장 사이트로 유도한 뒤 인터넷뱅킹 ID와 비밀번호 등의 정보를 ..
분석(6) Vista는 안전하다- 빌에 대한 반론 안녕하세요. 바다란입니다. 금일 자 기사에 Vista의 전문가들의 비난에 대해 침묵하던 빌게이츠 회장의 의견 피력이 있었습니다. 전체적으로 보면 일상적이고 무난한 의견이라고 보지만 그 동안 시대 상황이 변화고 환경 자체가 변함에 따라 변화의 요구는 매우 강해 질 수 밖에 없었던 MS의 입장을 볼 수 있습니다. 그 입장 변화의 주요 핵심요소들 중에는 Security가 있습니다. 그 동안 운영체제의 문제로 인해 발생된 문제들에 대한 지대한 관심과 IT분야에서의 이슈메이커는 MS에 집중이 되었습니다. 어찌 보면 당연한 문제일 수 밖에 없습니다. 신규 웜의 발생 및 파급효과 면에서 가장 큰 효과를 지닌 MS의 운영체제는 집중적인 분석 및 공격 대상이 되어 왔었고 현재도 마찬가지 입니다. 따라서 운영체제에 대한 ..
분석(4) - Web 2.0 UCC의 위협 - 보안위협 안녕하세요. 바다란 입니다.. 올해 년초의 보안 전망에서 너도나도 할 것 없이 UCC의 위험에 대해서 언급을 하고 있습니다. 해외 보안 업체 뿐 아니라 국내 보안 업체들도 마찬가지의 목소리를 내고 있는데 실상 얼마 만큼의 위험요소가 있을까요? 실제 가벼운 예를 통해서 풀어 보도록 하겠습니다. http://www.etnews.co.kr/news/detail.html?id=200701080117 Web 2.0은 사용자 중심의 UI를 통한 사용자에 의한 컨텐츠 제어로 규정 할 수 있을 것 같습니다. 물론 제 나름의 정의입니다. ^^ 이 관계에서 AJAX든 UCC든 다양한 사용자 중심의 컨텐츠 구성이 핵심이 될 수 있을 것 같습니다. 이 중에서도 UCC [ 사용자 저작 컨텐츠]라고 칭할 만한 것은 매우 많이 있..