태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

안녕하세요. 바다란입니다. 2006년 작성내용입니다.

 

XSS 진단 및 SQL Injection 진단 스크립트를 공개 합니다.

특별한 것은 아니구요.. 지난해에 급하게 작성하여 사용 했던 스크립트이니 참고 하시면 될 것 같습니다.

 

국내에서는 아직도 많은 사이트들이 해킹을 당하고 있는 실정입니다.

지금의 해킹은 페이지 변조가 아닌 내부 침입을 통해 정보를 가져 가거나 악성코드를 심는 형태로 나타나고 있는데 진입점을 막지 못하기 때문에 계속 문제가 될 수 밖에 없습니다.

 

이 스크립트는 완전하지는 않으나 100% 중에서 80% 이상의 문제 발견이 가능하므로 대응에 도움이 될 것입니다. 대기업이나 여력이 있는 기업에서는 상용 스캐너를 통해 문제의 진단 및 수정을 진행 하고 있으나 소규모 사이트들은 그런 여력이 없는 상황입니다.

 

따라서 지난해(2005) 부터 공개를 추진 하였으나 메인 몸이라 힘들었구요.. 1년 이상의 시간이 흘러서 이제는 공개를 해도 되지 않나 하는 생각에 공개 합니다. 허접한 스크립트이고 손을 안 본 상태라 개인 메일 주소만 딸랑 넣어 놨습니다. 

 

실행 시간은 사이트 구조에 따라 오래 걸릴 수 있는데..이럴 경우 1~5Mega 정도의 결과 파일이 생성 되면 Ctrl+c 눌러서 중지 시키고 결과에 나와 있는 문제들을 수정하고 다시 돌리시면 과다한 결과 생성 및 중복 생성 문제가 해결이 됩니다.

 

이름도 감자 입니다. ~~

 

참고하세여.... 국내의 수많은 웹서버들에 도움이 조금 되었으면 합니다.

 

현재 sourceforge에도 project 등록은 되어 있습니다. 향후에는 이쪽에도 일부 업데이트 할 예정입니다.

http://sourceforge.net/projects/gamja

 

Posted by 바다란

댓글을 달아 주세요

XSS : Cross site scripting - 현재 악성코드 설치 유형이 각 웹서버의 게시물에 대해 Cross site scripting을 이용하여 악성코드를 방문자에게 설치하는 유형이 매우 증가하고 있고 사용자의 쿠키를 외부로 빼내어가 인증 용도로 사용할 수 있는 문제점들이 있으므로 심화 진단하여 제거하는 것이 필요한 취약성

 

SQL Injection: 일반적인 SQL Injection이 아닌 URL 인자 단위마다 임의의 SQL command를 입력하여 데이터를 빼내어 가거나 DB 권한을 획득하여 정보를 유출 시킴.. 또한 획득한 DB 권한을 이용하여 웹서버의 소스코드를 직접 변경함.

 

Type Error:  문자를 입력하지 않아야 될 곳에 문자가 입력되는 등의 Vb script error의 경우에도 올해 상반기에 발견된 공격 유형 중 수치를 이용하여 결과를 유출 시키는 유형이 발견됨에 따라  [ 정수를 Ascii code 값으로 치환하여 결과를 리턴하는 유형 ] 강화된 진단 유형이며 일반적인 Input validation check의 개념에 따라 기본 오류를 찾아내도록 구성된 부분

 

전체적으로 Secure web programming 강화가 필요하며 강화를 위해 간단하게 작성된 스크립트 도구에서는 위의 세가지 문제를 URL 단위의 각 인자마다 체크하는 유형으로 간략하게 구성하여 문제를 확인토록 함.

 

국내의 현황

 

악성코드가 유포되는 모든 사이트들은 DB의 권한 탈취를 통해 웹서버의 소스코드를 변경하는 유형이므로 DB에 저장된 회원 정보 및 기밀 데이터들은 안정성을 보장 할 수 없는 상태임. 따라서 회원 DB 다수의 유출은 이미 돌이킬 수 없는 상태에 접어든 것으로 보임. 현재 상태에서 추가적인 악성코드 유포가 되지 않도록 Validation check를 강화하였을 경우 기존에 유출된 회원정보를 이용한 각 서비스 Unit에 대한 어뷰징이 증가 될 것으로 예상됨.

 

 

 

위의 현황과 문제인식에 따라 몇달전 내부적으로 사용하던 Perl script를 공개 하였습니다.

또한 시간이 허락하는한.. 공개적으로 발전을 시키고자 합니다. 따라서 Sourceforge에 며칠전 등록을 하였습니다. 관심이 있는 분들께서는 함께 참여하여 앞으로 보다 나은 환경 구축에 힘 썼으면 하는 개인적인 바램 있습니다.

 

https://sourceforge.net/projects/gamja

 

Project 페이지 입니다. 몇달전 공개한 스크립트 그대로 이며 기본적으로는 Web 진단 도구화 할 생각도 있습니다. 비싸고 효율성이 그다지 높지 않은 상용 App를 넘지는 못하더라도 기본 진단은 충실히 할 수 있도록 향후 발전 시킬 수 있었으면 합니다.

 

많은 참여 바랍니다.

 

* 공개용 스크립트는 위의 sourceforge 사이트 외에 본 블로그에서도 관련 내용을 확인 하실 수 있습니다. http://blog.naver.com/p4ssion/50009547486

 

 

    - 바다란  (p4ssion)

 

Posted by 바다란

댓글을 달아 주세요

XSS : Cross site scripting - 현재 악성코드 설치 유형이 각 웹서버의 게시물에 대해 Cross site scripting을 이용하여 악성코드를 방문자에게 설치하는 유형이 매우 증가하고 있고 사용자의 쿠키를 외부로 빼내어가 인증 용도로 사용할 수 있는 문제점들이 있으므로 심화 진단하여 제거하는 것이 필요한 취약성

 

SQL Injection: 일반적인 SQL Injection이 아닌 URL 인자 단위마다 임의의 SQL command를 입력하여 데이터를 빼내어 가거나 DB 권한을 획득하여 정보를 유출 시킴.. 또한 획득한 DB 권한을 이용하여 웹서버의 소스코드를 직접 변경함.

 

Type Error:  문자를 입력하지 않아야 될 곳에 문자가 입력되는 등의 Vb script error의 경우에도 올해 상반기에 발견된 공격 유형 중 수치를 이용하여 결과를 유출 시키는 유형이 발견됨에 따라  [ 정수를 Ascii code 값으로 치환하여 결과를 리턴하는 유형 ] 강화된 진단 유형이며 일반적인 Input validation check의 개념에 따라 기본 오류를 찾아내도록 구성된 부분

 

전체적으로 Secure web programming 강화가 필요하며 강화를 위해 간단하게 작성된 스크립트 도구에서는 위의 세가지 문제를 URL 단위의 각 인자마다 체크하는 유형으로 간략하게 구성하여 문제를 확인토록 함.

 

국내의 현황

 

악성코드가 유포되는 모든 사이트들은 DB의 권한 탈취를 통해 웹서버의 소스코드를 변경하는 유형이므로 DB에 저장된 회원 정보 및 기밀 데이터들은 안정성을 보장 할 수 없는 상태임. 따라서 회원 DB 다수의 유출은 이미 돌이킬 수 없는 상태에 접어든 것으로 보임. 현재 상태에서 추가적인 악성코드 유포가 되지 않도록 Validation check를 강화하였을 경우 기존에 유출된 회원정보를 이용한 각 서비스 Unit에 대한 어뷰징이 증가 될 것으로 예상됨.

 

 

 

위의 현황과 문제인식에 따라 몇달전 내부적으로 사용하던 Perl script를 공개 하였습니다.

또한 시간이 허락하는한.. 공개적으로 발전을 시키고자 합니다. 따라서 Sourceforge에 며칠전 등록을 하였습니다. 관심이 있는 분들께서는 함께 참여하여 앞으로 보다 나은 환경 구축에 힘 썼으면 하는 개인적인 바램 있습니다.

 

https://sourceforge.net/projects/gamja

 

Project 페이지 입니다. 몇달전 공개한 스크립트 그대로 이며 기본적으로는 Web 진단 도구화 할 생각도 있습니다. 비싸고 효율성이 그다지 높지 않은 상용 App를 넘지는 못하더라도 기본 진단은 충실히 할 수 있도록 향후 발전 시킬 수 있었으면 합니다.

 

많은 참여 바랍니다.

 

* 공개용 스크립트는 위의 sourceforge 사이트 외에 본 블로그에서도 관련 내용을 확인 하실 수 있습니다. http://blog.naver.com/p4ssion/50009547486

 

 

    - 바다란  (p4ssion)

 

Posted by 바다란

댓글을 달아 주세요