'홈페이지위조'에 해당되는 글 2건

  1. 2012.03.16 그누보드 신규 취약점 발견...보안패치 공지
  2. 2009.09.16 프로그램 취약성 점검 및 보안 코딩을 위한 방안 비교
2012. 3. 16. 18:30

그누보드 신규 취약점 발견...보안패치 공지

트리니티소프트, 로그인 사용자 공격...주의 당부

[보안뉴스 김태형] 웹 애플리케이션 보안 전문 기업인 트리니티소프트(대표 김진수, www.trinitysoft.co.kr)는 제로보드와 더불어 국내에서 가장 많이 사용하는 공개 게시판 프로그램인 ‘그누보드(gnuboard)’에서 신규 취약점을 발견하여 사용자들의 주의를 당부했다.



이번에 발견된 ‘Cross-Site-Scripting’ 취약점은 웹 서버 자체를 공격하기 보다는 웹 사이트에 로그인 한 사용자를 공격하는 기법이다. 공격자는 특수하게 조작된 파일을 게시판에 업로드 후 관리자가 열어보도록 함으로써 홈페이지 위·변조 또는 권한획득까지 가능하다.


‘특수하게 조작된 파일’은 게시판에 파일을 첨부할 때 공격코드를 파일명으로 저장하면 관리자가 클릭함과 동시에 웹브라우저 상에서 공격코드가 실행되게 되는데 이때 ‘특정 브라우저의 자체차단 기능인 Cross-Site-Scripting 방어’ 또한 간단하게 우회할 수 있다.


이에 트리니티소프트는 “파일명이 터무니없이 길거나 16진수 혹은 스크립트 명령어 형식이라면 이러한 취약점공격을 의심해 보아야 한다”며 “그누보드 측에 관련 정보를 제공하였으며 현재 자사 고객사 및 협력사에는 그누보드의 패치코드를 배포하였다”고 전했다.


정보를 제공받은 ‘그누보드’측은 12일 홈페이지(http://sir.co.kr/) 공지사항을 통해 이들 보안 취약점에 대한 위험성을 설명하고 최신 보안패치를 권고했다.


*MS Explorer의 Cross-Site-Scripting 방어란? 웹 사이트에 삽입되어 있는 악성 스크립트 실행을 차단하여 XSS 등의 위험으로부터 사용자를 보호하는 기능을 말한다.

[김태형 기자(boan@boannews.com)]


출처 : 보안뉴스 


Trackback 0 Comment 0
2009. 9. 16. 14:48

프로그램 취약성 점검 및 보안 코딩을 위한 방안 비교

1.       소스 보안 분석 툴 활용
포티파이
SCA(Fortify Source Code Analysis) 4.0
클록워크
(Klockwork) K7,5,
온스 랩스(Once Labs) 온스
4.1
아모라이즈(armorize)
Securecode
컴퓨웨어(Compuware)
DevPartner Security checker

사용시점 : 개발시 부터 활용 가능

: 개발자
적용기간 : 1주일 이내/Web Application
    :  2~3/개발자(최소 사용자 제한으로 가격 매우 고가
)
    : 어플리케이션 보안의 가장 근본적인 대책은 소스보안 이라는 부분에서

          
접근하였으나 비용 측면에서 매우 고가이며, 툴은 일뿐이라는 상식
          
벗어나지는 못함.
    : 투자대비 효과 측면에서 솔루션과 비교하여 차이 없음

2.       어플리케이션 취약성 분석 툴
Watchfire의 Appscan 7.6 kor
Acunetix의 Web vulnerability Scanner 5
패닉시큐리티 PSSCANWEB
잉카인터넷   nProtect WebScan
이븐스타     BigLook Scanner

사용시점 :  개발 완료후 테스트 시점  및 운용단계
            (Appscan은 개발시 부터 활용가능)
사 용 자 : 개발자 및 전산 관리자, 보안 관리자
적용기간 : 1일 (취약성 분석 기간),  조치 기간은 개발자의 능력에 따라 상이함
    액 :  1천~1억 대(기능에 따라 가격차 천차만별)
    뷰 : 개발 시에 보안을 고려한 개발은 시간적 금전적으로 많은 비용이 수반
           되는 단점으로 인하여, 이를 극복하고자 거꾸로 해커입장에서 취약성을
           자동 분석하고 그에 대한 보고서 및 조치방안 까지 제공하여 소스보안
           과 동일한 효과를 내며, 투자대비 좀더 효율적이며, 다양한 용도로 활용
           가능하다. 소스분석 툴과 마찬가지로 툴이라는 한계는 벗어나지 못함.
           일부 국산 툴은 국정원 보안성 심사라는 형식에 치우친 나머지 수준이하의
           기능을 보임.

3.       Secure Module(보안 모듈)
사용시점 : 개발 시부터 활용 가능
사 용 자 : 개발자
적용기간 : 2-3일 이내/Web Application
    액 : 2~3천 내외/Web Application
    뷰 : 개발 시 사용되는 보안 핵심프로세스를 일반 초보 개발자도 손쉽게 적용 가 
             능토록 한 부분이 매우 인상적(초보 개발자도 전체 취약점의 70~80%이상 제
             거 가능), 소스분석 툴이나 취약성분석 툴과 같은 툴의 한계성은 존재하나,
            보안전문가에 의한 모의해킹 및 취약성 분석 비용이 포함된 금액이기 때문에
            비용대비 효과 측면에서 매우 뛰어나다. 또한, 추가비용 없이 타 솔루션에 비
            하여 매우 높은 보안성 구현이 가능한 것이 장점이다.

4.        
최근 개인정보 누출 및 홈페이지 위,변조, 사이버해킹 등의 사고가 빈번하게 발생함에 따라 그와 관련된 솔루션 들이 봇물을 이루고 있지만 자동화된 툴 및 솔루션으로는 그 방어에 한계가 있다는 것을 반드시 염두에 두어야 할 것이다. 반드시 관련 솔루션을 도입 시에 보안전문 컨설턴트에 의한 컨설팅 제공여부를 확인하지 않으면 비용은 비용대로 지불하고 사상누각을 지은 형국이 되고 말 것이다. 


출처 : http://blog.naver.com/bush42

Trackback 0 Comment 0