본문 바로가기

CSRF14

국내 공개 웹 게시판(제로보드) 취약점 주의 _______________________________________________________________________________ 원인 : 제로보드 4 게시판의 취약성을 이용한 파일 변조 증상 : 1. bbs/icon 폴더에 group_qazwsxedc.jpg 파일과 visitLog.php 생성 2. 계정내 확장자가 html, php 파일들에 frame src="악성코드 배포지 URL 삽입 (예: http://h.nexprice.com/css/x.htm) * 주로 bbs/폴더내의 파일들에 소스가 삽입됩니다. * 계정내 파일들에 iframe 삽입은 없을 수도 있습니다. 3. 제로보드 DB에 zetyx_group_table 생성되고 이 테이블의 header 또는 header_url 에 위 2번과.. 2010. 12. 22.
OWASP 2010 TOP 10 동영상 [OWASP TOP 10 2010 A1] 인젝션 [OWASP TOP 10 2010 A2,A3]XSS 취약한 인증과 세션 [OWASP TOP 10 2010 A4]안전하지 않은 직접 객체 참조 [OWASP TOP 10 2010 A5]CSRF [OWASP TOP 10 2010 A6]보안상 잘못된 구성 [OWASP TOP 10 2010 A7]안전하지 않은 암호 저장 [OWASP TOP 10 2010 A8]URL 접근 제한 실패 [OWASP TOP 10 2010 A9]불충분한 전송 계층 보호 [OWASP TOP 10 2010 A10]검증되지 않은 리다이렉트와 포워드 출처 : http://i2sec.co.kr/ 2010. 8. 16.
‘신뢰의 아이러니’… 소셜 네트워크 흔드는 10대 위험 요소 각종 소셜 네트워킹 도구들이 개개인의 생활 속에서 서로 소통하는 법을 바꾸어 놓고 있다. 전문 영역의 패턴도 변화하고 있다. 비즈니스에 있어서도 점점 중요한 역할로 대두되고 있다. 하지만 이에 따른 위험성 또한 높아지는 추세다. 최근 수년간 이러한 공격을 받은 경험이 있는 사용자들이 수백만 명에 이른다. 팔로 알토 네트웍스는 기업에서 소셜 네트워킹 관련 정책을 수립 시 반드시 고려해야 할 10가지 위험요소를 선정했다. 1. 소셜 네트워킹 웜 : 조사에 따르면, 쿱페이스(Koobface)를 포함한 소셜 네트워킹 웜들은 최대 규모의 웹2.0 "봇넷(botnet)"이다. 쿱페이스 등의 악성 웜들은, 소셜 네트워크(페이스북, 마이스페이스, 트위터, 하이5, 프렌드스터, 비보) 전체에 확산되도록 설계되어 있다. .. 2010. 7. 20.
국내 공개 웹 게시판(제로보드XE) 보안 업데이트 권고 □ 개요 o 최근 국내 PHP 기반의 공개 웹 게시판 제로보드 XE에 대한 XSS 및 CSRF 관련 보안 취약점이 발견됨[1]. o 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위협이 발생함에 따라, 사용자의 주의 및 조속한 패치가 필요함 □ 영향 o 원격의 사용자가 제로보드 XE 관리자 권한 획득가능 o 획득한 관리자 권한을 이용하여 시스템 내의 임의의 파일 읽기, PHP 명령실행 등이 가능하며, 이를 이용한 웹 변조, 원격 실행 등이 발생할 수 있음 □ 해당시스템 o 제로보드 XE 1.4.0.10 이하 버전 □ 해결방안 o 업데이트된 파일만 적용하는 경우, - 공식사이트(www.xpressengine.com)에 취약점이 패치된 xe.1.4.0.11.changed.tgz 를 다운로드 받아 압축을 .. 2010. 4. 19.
Additional notes in PHP source code auditing Today , I decide talk about some of my experience about methods of vulnerability discovery techniques through source code auditing . if you remember , around 1 years ago , i wrote This article : 20 ways to php Source code fuzzing (Auditing) some time ago “Stefan Esser” made The Poster on the PHP Security . I’m going to have a brief description about most them with my experience in PHP Source cod.. 2010. 3. 16.

티스토리툴바