'SQL INJECTION'에 해당되는 글 50건

  1. 2015.08.06 WordPress 긴급 보안 업데이트
  2. 2014.03.03 긴급 홈페이지 보안 점검 요청
  3. 2013.09.11 Automated Web Application Security Testing Tool (1)
2015.08.06 17:59

WordPress 긴급 보안 업데이트


  o Wordpress에서 취약점을 보완한 긴급 보안 패치를 공개

  o 워드프레스 4.2.3과 그 이전 버전에서 XSS 취약점과  SQL 인젝션 취약점이 발견되어 최신버전 업데이트를 권고

영향 받는 소프트웨어

  o WordPress 4.2.3 이하 버전


해결 방안

  o 4.2.4 버전으로 업데이트

  - Dashboard(알림판) -> Updates(업데이트)


  - Update Now(지금 업데이트클릭

기타 문의사항

  o 한국인터넷진흥원 인터넷침해대응센터국번없이 118




Trackback 0 Comment 0
2014.03.03 19:08

긴급 홈페이지 보안 점검 요청


  • 최근 국내 의사협회 홈페이지 해킹 등 개인정보 탈취 사례가 지속적으로 발생하고 있습니다.
  • 홈페이지를 운영하는 중소기업은 해킹 공격에 대비하여 긴급 보안점검을 하시기 바랍니다.

홈페이지 자체 보안 점검 요청

  • 대상 : 홈페이지를 운영하는 중소기업
  • 목적 : 홈페이지 자체 보안점검을 통하여 해킹 피해 방지
  • 내용 : 홈페이지 해킹도구(웹셸) 확인 및 취약점 자체 보안 점검 요청

한국인터넷진흥원 안내 사항

  • 웹셸 탐지도구 ‘휘슬’ 사용 신청 안내
    - 중소기업에서 홈페이지 해킹도구(웹셸)삽입 확인이 어려울 경우, 한국인터넷진흥원에서 제공하는 
      웹셸 탐지 도구인 ‘휘슬’을 이용하시기 바랍니다.

    ※ 웹셸(Web Shell) : 보안이 취약한 사이트 게시판 등에 악성코드가 포함된 파일을 업로드하여 
    시스템 관리자 권한 획득 후 개인정보를 수집하는 방식
    - 문의 연락처 : 02-405-5617, whistl2010@krcert.or.kr
    - 휘슬 사용 신청 안내사이트 : 
    ※ 휘슬 : 관리자가 운영하는 웹서버에 해커가 설치한 웹셸이 있는지 쉽게 탐지할 수 있도록 
                 KISA에서 개발한 웹 보안도구

<휘슬 제공 절차>

<휘슬(윈도우, 리눅스) 설치 및 점검 절차>

※ 상세 휘슬(윈도우, 리눅스) 설치 및 점검 절차는 첨부파일을 참조

  • 원격 웹취약점 점검서비스 안내
    - 홈페이지를 운영하는 중소기업에서 자체적으로 취약점(SQL injection 취약점 등) 확인이 
      어려울 경우 한국인터넷진흥원에서 제공하는 원격 웹취약점 점검 서비스를 받으시기 바랍니다.
     ※ SQL 인젝션 : 사이트 운영 데이터 베이스의 취약점을 이용, 직접 데이터 베이스 명령을 통해
         관리자 권한을 획득 후 개인정보를 수집하는 방식
    - 문의 연락처 : 02-405-5665, toolboxadmin@krcert.or.kr
    - 취약점 점검 요청 안내사이트 : 

<원격 웹취약점 점검서비스 제공 절차>

Trackback 0 Comment 0
2013.09.11 19:27

Automated Web Application Security Testing Tool

Acunetix Web Vulnerability Scanner (WVS) is an automated web application security testing tool that audits your web applications by checking for exploitable hacking vulnerabilities. Automated scans may be supplemented and cross-checked with the variety of manual tools to allow for comprehensive web site and web application penetration testing.

Changelog v8.20130308

Unicode Transformation Issues
This new security test is looking for issues that can occur when working with Unicode data. Specifically, it is looking for Best-Fit mappings, Overlong byte sequences and Ill-Formed Subsequences issues.

Best-Fit Mappings occurs when a character X gets transformed to an entirely different character Y. For example, in some situations the Unicode character U+FF1C FULLWIDTH LESS-THAN SIGN can be transformed into U+003C LESS-THAN SIGN (<). This can cause serious security problems for the affected web application.

Overlong byte sequences (non-shortest form) – UTF-8 allows for different representations of characters that also have a shorter form. For security reasons, a UTF-8 decoder must not accept UTF-8 sequences that are longer than necessary to encode a character. For example, the character U+000A (line feed) must be accepted from a UTF-8 stream only in the form 0x0A, but not in any of the following five possible overlong forms:
  • 0xC0 0x8A
  • 0xE0 0×80 0x8A
  • 0xF0 0×80 0×80 0x8A
  • 0xF8 0×80 0×80 0×80 0x8A
  • 0xFC 0×80 0×80 0×80 0×80 0x8A

Ill-Formed Subsequences - As REQUIRED by UNICODE 3.0, and noted in the Unicode Technical Report #36, the web application should not consume a leading byte when it is followed by an invalid successor byte. For example, at some point PHP was consuming the control characters leading to XSS and SQL injection vulnerabilities.

Analyze Parameter Values
Another script introduced with this update is Analyze_Parameter_Values.script. This script is analyzing parameter values and performs various actions based on their values. For example, if the parameter value contains a filename or a file path, the script will pass this information to the crawler and these files will be crawled and tested in the next scan iteration.

Hidden Virtual Hosts
Finally, the latest update contains a script that is trying to find hidden Virtual Hosts on the tested web server. Virtual hosting is a method for hosting multiple domain names on a single web server.
Sometimes developers hosts internal/test applications on production systems without making them public. These virtual hosts are not directly accessible unless you guess the name of their virtual host, connect to the web server’s IP address and specify the virtual host in the Host header.
This script is looking for common Virtual Host names and compares the responses received with the normal response. When it finds differences, it will issue alerts for these names.

Full Changelog: here
More Information:

Download Acunetix Web Vulnerability Scanner v8.20130308

Trackback 0 Comment 1
  1. Favicon of http://linuxtip.net guk 2013.09.13 17:25 신고 address edit & del reply

    좋은 정보 늘 잘 보고 있습니다.