본문 바로가기

CSRF14

익스프레스엔진(XE) 보안 업데이트 □ 개요 o 국내 PHP기반의 CMS인 익스프레스엔진(XE)에서 웹 관리자 권한을 탈취할 수 있는 XSS 및 CSRF 취약점 발견됨 o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의해 홈페이지 변조, 개인정보 유출 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요 □ 해당시스템 o 영향받는 소프트웨어 - 익스프레스 엔진 1.7.3.4 및 이전 버전 □ 해결방안 o 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [1] ※ 패치 작업 이전에 원본 파일 및 DB 백업 필요 o 익스프레스 엔진을 새로 설치하는 이용자 - 반드시 보안패치가 적용된 최신버전(1.7.3.6 이상)을 설치 □ 용어 정리 o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어 o 익스.. 2013. 10. 2.
킴스큐 CMS 보안 업데이트 □ 개요국내 PHP기반의 CMS인 킴스큐에서 웹쉘 생성 및 관리자 권한을 탈취할 수 있는 CSRF 취약점이 발견됨취약한 버전을 사용하고 있을 경우, 해킹에 의한 홈페이지 변조, 관리자 권한탈취, 개인정보 유출 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요 □ 해당시스템영향받는 소프트웨어 - 킴스큐 1.2.1 AR12061201 및 이전버전 □ 해결방안기존 킴스큐 사용자는 SE05021301 보안패치 적용 [1] □ 용어 정리PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어CSRF(Cross-Site Request Forgery) : 사용자가 자신의 의지와는 무관하게 공격자 의도한 행위(수정, 삭제, 등록 등)를 요청하게 하는 공격CMS(Contents Management Syste.. 2013. 5. 6.
ipTIME 유무선 공유기 CSRF 취약점 주의 □ 개요EFM-Networks社의 제품인 ipTIME 유무선 공유기 제품에서 CSRF취약점이 발견됨관리자 암호가 설정되지 않은 유무선 공유기 사용자가 악성사이트를 방문할 경우, 공격자가 관리자 패스워드를 변조할 수 있는 취약점ipTIME 제품의 최신 버전에서도 해당 취약점이 존재하므로, 사용자는 임시 조치방안에 따른 조치를 권고함 □ 해당 시스템영향 받는 소프트웨어 - ipTIME 유무선 공유기 제품 □ 임시 조치방안사용자는 취약점에 의한 피해를 입지 않도록 다음과 같은 사항을 준수해야함 - 해당 단말기의 “시스템관리→관리자 설정” 메뉴의 로그인 계정 설정 수행 ※ 무선 네트워크 암호와 별개임 □ 용어 정리CSRF (Cross-Site Request Forgery) : 사용자가 자신의 의지와는 무관하게 .. 2013. 2. 25.
HTML 태그 활용한 XSS 취약점 발견! embed와 object 활용한 취약점...CSRF, 악성코드 유포에 악용 가능 [보안뉴스 김태형] 아직 패치가 되지 않은 제로데이 취약점이 발견되어 주의가 요구된다. 이번 취약점을 발견해 본지에 알려온 제보자에 의하면 “이번 취약점은 웹페이지에 사용되는 HTML 태그인 embed와 object를 활용한 XSS 취약점이며, 이 취약점이 악용되는 것을 우려해 한국인터넷진흥원에 통보한 상황”이라고 밝혔다. 제보자에 따르면 “이 취약점은 최신 익스프레스 엔진(XpressEngine, 이하 XE) 게시판에 글쓰기로 삽입이 가능하며, 이를 통해 악성코드 유포 등의 악용이 가능하다” 고 설명했다. 그러나 그는 “그나마 다행스러운 건 이 취약점으로 관리자 계정 탈취는 쉽지 않다는 것”이라고 덧붙였다. 즉, ifram.. 2012. 7. 27.
OWASP Top 10 2010 시연 동영상 OWASP Top 10 2010: A1 - Injection OWASP Top 10 2010: A2 - Cross Site Scripting OWASP Top 10 2010: A3 - Broken Authentication and Session Management OWASP Top 10 2010: A4 - Insecure Direct Object References OWASP Top 10 2010: A5 - Cross-Site Request Forgery (CSRF) OWASP Top 10 2010: A6 - Security Misconfiguration OWASP Top 10 2010: A7 - Insecure Cryptographic Storage OWASP Top 10 2010: A8 - Failu.. 2011. 2. 8.

티스토리툴바