[MOONSLAB.com]

마이크로소프트는 윈도우 전제품에서 발생할 수 있는 MHTML(Mime HTML) 취약점에 대한 신고를 접수받아 조사를 진행 중인 것으로 알려져 있습니다.

이 취약점은 사용자가 웹사이트를 방문하는 과정에서 교묘하게 조작된 악성 코드를 실행할 수 있으며, 결론적으로 XSS(Cross-Site Scritping) 취약점과 유사한 형태의 공격이 이뤄질 수 있다고 합니다.

구글의 보안팀이 지난 주에 올린 블로그 글에 따르면, 정교하게 타겟화된 공격이 준비되는 것으로 인식하고 있으며 소셜 네트워크 사이트의 사용자도 노리고 있다고 합니다.
 
참고적으로 이 취약점은 지난 1월부터 이미 널리 공개되어 알려져 있는 것으로 인터넷 익스플로러를 사용하는 사용자에게 영향을 미칩니다.

현재 이 취약점에 대한 보안 패치는 제공되고 있지 않지만, 임시적으로 사용할 수 있는 핫픽스가 제공되고 있습니다.


사용자가 할 수 있는 대안으로는 ActiveX를 사용하지 않도록 하는 것이지만, 국내 ActiveX 환경에서는 거의 불가능한 방법이라고 볼 수 있습니다.

감사합니다.

출처: http://www.sectechno.com/2011/03/14/hackers-exploit-latest-microsoft-mhtml-bug/?utm_medium=twitter&utm_campaign=winsec&utm_source=%40winsec

XSS(Cross-Site Scripting) 공격은 사용자가 웹 사이트를 방문하는 사이에 다양한 공격을 유도함으로써 심각한 피해를 가져 옵니다.

이러한 문제점을 해결하기 위해 IE 8 이상에서는 다른 사이트로 유도하는 경우에는 이를 알리는 기능을 내장하고 있습니다.


구글 크롬 브라우저의 개발자 버전인 V7.0.452.0 버전에서 드디어 XSS Auditor 라고하는 필터링 기능이 제공되기 시작했습니다.



이 기능은 XSS 공격을 100% 예방할 수 있진 않지만 그래도 충분한 예방책이 될 수 있을 것으로 예상됩니다. 하지만, 일부 웹사이트에서 문제가 발생할 소지가 있으므로 사용자가 충분한 이해를 한 후에 사용하는 것이 좋습니다.

감사합니다.

아무런 이름을 밝히지 않고 해킹하는 한 단체에서는 최근 다음에 해킹할 웹사이트를 공개적으로 언급하면서 사람들의 관심을 사고 있습니다.

이 웹사이트는 MPAA(Motion Picture Association of America)에서 운영하는 것으로 저작권에 관한 정보를 알리고 있습니다.

<그림 1. 웹사이트가 조작된 화면>

공격 방식에 대해서는 여러가지 의견이 제시되고 있지만, 이 중에서 가장 신뢰할 수 있는 방식이 바로  SQL Injection 취약점이며, 아래 사진을 참고하십시오.

<그림 2. SQL Injection 취약점이 있는 링크>

SQL Injection 취약점을 통해 서버 장악, 데이터베이스 변조 및 조작, 정보 누출 등이 발생할 가능성이 있습니다.

국내에서도 수많은 사이트가 SQL Injection 취약점에 노출되어 있습니다. 특히, Mass SQL Injection 취약점을 통해 많은 컴퓨터 사용자들이 인터넷을 이용하다가 감염되는 사례가 증가하고 있으므로, 이 문제점을 해결하는데 많은 노력을 기울여야 합니다.

감사합니다.

출처: http://news.softpedia.com/news/SQL-Injection-Used-to-Deface-Copyprotected-Others-Might-Follow-161316.shtml

웹 보안에 관련된 취약점 가운데 가장 문제가 많이 발생하는 것으로는 SQL Injection과 XSS(Cross-Site Scripting) 취약점을 들 수 있습니다.

 
위 표는 OWASP에서 선정한 웹 취약점 10대 항목으로 그 심각성을 손쉽게 알 수 있습니다.

이 중에서 XSS 취약점은 로그인한 사용자의 계정 정보(쿠키 등)를 훔치거나 다른 사이트로 착각하게 하여 정보를 훔치는 피싱 공격의 주요한 수단으로 이용됩니다.

지난 주말에 XSSed.COM에서는 네이버에서 발견된 다수의 XSS 취약점에 대한 정보가 공개되었습니다. 아직 수정되지 않은 것으로 보이며, 빠른 해결이 시급합니다.


이러한 취약점은 일반적인 방화벽이나 웹방화벽(WAF) 등으로 막기에는 한계가 있으며 근본적인 해결책은 소스를 수정하는 것으로 개발 시점부터 이러한 문제점을 고려하는 것이 좋습니다.

출처: http://xssed.com/search?key=naver

감사합니다.

지난 주말, 9월 25일부터 26일까지 인터넷 서점 중 하나인 알라딘에서 악성코드를 유포하는 악성 스크립트가 메인 사이트에 삽입된 사건이 있었습니다. 해당 사이트에서는 (얼마나 빨리 대처했는지는 모르지만) 빠른 대응을 통해 악성코드를 제거하고 모니터링을 강화하고 있다고 자사 홈페이지에서 공지로 알리고 있습니다다.

아래 코드는 어베스트! 안티바이러스 제품에서 알라딘 홈페이지에서 진단한 스크립트의 URL 및 진단 이름입니다. URL의 일부분은 안전을 위해 변경했습니다.


그런데, 알라딘 웹사이트에서만 이러한 문제점이 나타난다고 볼 수 있을까요?

네이버에서 보안에 관련된 유명한 카페 중의 하나인 바제2(바이러스제로 시즌2)에서 악성코드 유포 신고 라는 게시판을 살펴 보면, 거의 매일 유명한(누구나 한번 정도 들어 봄직한) 사이트들이 언급되곤 합니다. 몇 페이지 넘겨가면서 보다 보면, 아! 이것도 '단골'이 있구나 하는 생각이 들기도 합니다.

게다가,여기 이외에도 발견되는 공격 패턴(예. 스크립트의 URL 경로)을 구글을 이용하여 검색해 보면 다양한 결과를 볼 수도 있습니다.


실제로 국내 웹사이트의 보안에 대해서는 아무도 선듯 얘기하지 못하는 것이 사실입니다. 잘못 벙긋~ 했다가는 아마도 명예훼손, 업무방해, 해킹 등의 이유로 인해 법정을 왔다갔다할 수 있다는 우려 때문입니다.

외국의 경우에는 이러한 부분에 대해서는 더 관대(이 용어가 적절한지는 의문이지만)하다고 볼 수 있습니다. 아래는 필자가 외국 웹사이트에서 웹 관련 취약점을 찾아 블로그에 공개한 링크입니다.


물론 이렇게 공개는 하지만, 스크립트 키드들이 사용할 수 없도록 일부 정보를 숨기고 있습니다. 아마도 해당 개발자들은 스크린샷에 있는 항목이나 메뉴만 보더라도 문제점을 충분히 유추하여 해결할 수 있을 것으로 보입니다.

하여튼, 이러한 예로 볼 때, 국내에서 보안에 대한 경각심이나 보안을 강화하고자 하는 노력을 위해서는 보안을 바라보는 시선부터 바꿔야 할 것입니다.

감사합니다.

최근 SNS 서비스에 대한 다양한 공격이 진행된 적이 있습니다.

9월 21일 오후에는 트위터에서 XSS(Cross-site Scripting) 공격이 발견되어 수천명 이상이 피해를 본 것으로 알려지고 있습니다. 아래는 이러한 공격 중의 하나입니다.


아직 해당 공격에 사용된 트윗이 트위터에서 검색되기도 합니다.

주: 가급적 링크를 사용하지 마십시오.


이 공격을 통해 해당 트윗을 본 사용자들은 RT(ReTweet)을 하지 않고, 단순하게 마우스를 대는 순간에 포르노 사이트로 이동하는 신기한 현상을 경험할 수 있었습니다.


아래 동영상은 보안 기업으로 유명한 소포스(Sophos)에서 트위터의 XSS 취약점을 이용하여 데모로 시연한 동영상입니다.




지난 번에 XSS 공격의 원인 및 미치는 영향에 대해서 언급한 적이 있지만, 이렇게 대규모로 문제를 일으킬 만큼 매우 위험한 취약점으로 OWASP 2010 - Top 10의 2번째로 위험하다고 분류하고 있습니다.



다행인것은 현재는 XSS 취약점을 해결한 상태입니다. 하지만, 완벽한 해결이라고 보기에는 역부족이지 않을까요?

출처: http://ht.ly/2HtEL

웹 보안에 관련되어 다양한 문서들이 인터넷에 공개되어 있거나 책으로 판매됩니다. 이중에서 가장 널리 인용되는 자료는 바로 OWASP Top-10이며, 이 문서는 최신의 보안 경향을 반영하기 위해 약 1-3년 주기마다 업데이트됩니다.


이 문서에 따르면 가장 위협이 되는 취약점은 INJECTION, XSS(Cross-Site Script) 순으로 분류되어 있습니다.

이 중에서 SQL Injection 취약점은 그 공격의 결과가 서버의 장악이나 데이터베이스(데이터) 손상이 발생하기 때문에 상대적으로 보안 관리자가 인식하기가 쉽습니다.

하지만, XSS 공격은 실제로 취약점이 있는 웹서버를 공격하는 것이 아니라 제 3자를 공격하는 공격 경유지 성격을 띠고 있기 때문에 취약점으로 인해 공격이 발생하는지 알아차리기가 쉽지 않습니다.

XSS 취약점을 이용하여 공격자는 웹 애플리케이션에 접근하는 다른 사용자에게 자바스크립트를 실행할 수 있게끔 허용함으로써 공격이 시작됩니다. 즉,  사용자는 위험할 수도 있다는 생각은 전혀 하지 않은 상태에서 교묘하게 조작된 악성 스크립트가 실행되어 이로 인해 크나큰 피해가 발생할 수 있습니다.

XSS 공격의 예로 가장 대표적인 것이 계정 정보를 빼내는 기술입니다. 아래와 같은 방식으로 공격이 진행되며 최후의 단계에서는 공격자가 피해자의 정보를 도용하여 로그온할 수 있게 됩니다.

1. XSS 취약점이 있는 게시판, 검색(입력 부분), 매개변수에 교묘하게 조작된 스크립트를 작성하여 글로 게시합니다.
2. 사용자가 해당 웹서버에 로그온한 후에 공격자가 미리 올린 글을 읽습니다.
3. 사용자의 쿠키 값을 웹프록시와 같은 방법을 써서 전송받습니다.
4. 공격자는 사용자의 쿠키 값을 이용하여 로그온하고, 그외의 공격을 진행합니다.

이러한 방식은 지난 2008년 9월에 작성된 보고서의 일부분으로, 전북대학교 건지인사랑방에서 발생한 예입니다. (관련 자료 다운로드: http://iscert.springnote.com/pages/1770388/attachments/775186 )

아래 화면은 엘에이타임즈(LA Times, http://www.latimes.com ) 웹사이트의 특정 URL에서 발견된 XSS 취약점에서 alert("문자열") 스크립트를 실행한 화면입니다. 이외에도 이 사이트에는 다수의 XSS 취약점이 존재할 것으로 생각됩니다.



만약, 은행과 같은 금융권, 쇼핑몰, 적립금을 적립/충전하여 사용할 수 있는 사이트에서 이러한 XSS 취약점을 이용하는 공격이 발생할 때에는 치명적인 결과를 나을 수 있습니다.

결론적으로, 로그온이 사용되는 웹사이트에서는 XSS 공격에 대해 충분한 검토하여 문제점을 미리 파악하여 해결해야 합니다. 물론, 로그온이 안되는 경우에도 다양한 공격이 이뤄질 수 있지만, 계정 정보 노출이 가장 중요한 것임은 분명합니다.

감사합니다.
 

TYPO3는 국내에서 그리 많이 알려져 있진 않지만, 계속 소개하는 이유는 바로 오픈소스 계열의 웹 애플리케이션의 취약점에 대해 알리기 위해서 입니다.


실제 외국의 사례를 볼 때, Joomla, WordPress와 같이 널리 사용되는 프로그램에서 취약점이 발생할 경우에는 엄청난 위력을 발휘하기 때문입니다.

하여튼, 지난 번에 TYPO3에 관련된 웹 취약점을 언급한 적이 있습니다. TYPE3에서는 XSS(cross-site scripting) 리디렉션, SQL Injection, 인증 및 세션에 관련된 문제점, 정보 누출, 의도적인 코드 실행 등등, 취약점 종합백화점이라고 말할 수 있었습니다.


이러한 문제점을 해결한 버전이 출시되었으며 자세한 사항은 아래 링크를 참고하십시오.


감사합니다.

Microsoft Korea website(http://www.microsoft.co.kr/dynamic/ko/kr) is vulnerable to cross-site scripting(XSS).

Combining phishing technique when exploiting XSS vulnerability, therefore could lead to series security breaches or neak personal informations.


On May, I published that Microsoft website contailed SQL Injection vulnerability. This issue seemed to be resolved silently.

link: http://moonslab.com/930

A Vietnamese hacker called "Thuat Nguyen" had hacked into iTunes accounts and manipulated the rating and sales for his book apps in July.

 

Apple does not confirmed an official statement regarding this hacks. But I guess that attack point of this hacks caused by phishing(such as E-mail) or malware such as keylogger.

 

I assumed that iTunes website may be vulnerable to SQL Injection or XSS attack.

 

Finally, I've found that iTunes website is vulnerable to XSS attack.

<#1. XSS Attack. iTunes likes google? >

 

While there are a huge numbers of XSS attack vectors, secure coding (input validation, output escaping) can defend against XSS attack(and SQL Injection).

 

Please email me(moonslab@gmail.com) if you’re security administrator of Apple or iTunes site.

.