본문 바로가기

Cross-site request forgery5

익스프레스엔진(XE) 보안 업데이트 □ 개요 o 국내 PHP기반의 CMS인 익스프레스엔진(XE)에서 웹 관리자 권한을 탈취할 수 있는 XSS 및 CSRF 취약점 발견됨 o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의해 홈페이지 변조, 개인정보 유출 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요 □ 해당시스템 o 영향받는 소프트웨어 - 익스프레스 엔진 1.7.3.4 및 이전 버전 □ 해결방안 o 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [1] ※ 패치 작업 이전에 원본 파일 및 DB 백업 필요 o 익스프레스 엔진을 새로 설치하는 이용자 - 반드시 보안패치가 적용된 최신버전(1.7.3.6 이상)을 설치 □ 용어 정리 o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어 o 익스.. 2013. 10. 2.
OWASP Top 10 2010 시연 동영상 OWASP Top 10 2010: A1 - Injection OWASP Top 10 2010: A2 - Cross Site Scripting OWASP Top 10 2010: A3 - Broken Authentication and Session Management OWASP Top 10 2010: A4 - Insecure Direct Object References OWASP Top 10 2010: A5 - Cross-Site Request Forgery (CSRF) OWASP Top 10 2010: A6 - Security Misconfiguration OWASP Top 10 2010: A7 - Insecure Cryptographic Storage OWASP Top 10 2010: A8 - Failu.. 2011. 2. 8.
국내 공개 웹 게시판(제로보드) 취약점 주의 _______________________________________________________________________________ 원인 : 제로보드 4 게시판의 취약성을 이용한 파일 변조 증상 : 1. bbs/icon 폴더에 group_qazwsxedc.jpg 파일과 visitLog.php 생성 2. 계정내 확장자가 html, php 파일들에 frame src="악성코드 배포지 URL 삽입 (예: http://h.nexprice.com/css/x.htm) * 주로 bbs/폴더내의 파일들에 소스가 삽입됩니다. * 계정내 파일들에 iframe 삽입은 없을 수도 있습니다. 3. 제로보드 DB에 zetyx_group_table 생성되고 이 테이블의 header 또는 header_url 에 위 2번과.. 2010. 12. 22.
국내 공개 웹 게시판(제로보드) 보안 업데이트 권고 □ 개요 o 최근 국내 PHP 기반의 공개 웹 게시판 제로보드4에 대한 CSRF 관련 보안 취약점이 발견됨[3] ※ 제로보드(ZeroBoard): PHP 언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임워크 ※ CSRF(Cross-Site Request Forgery) 취약점 : 정상적인 서비스 사용자의 권한을 몰래 이용하여 스크립트를 실행할 수 있는 취약점으로 관리자 권한으로 악의적인 목적의 스크립트가 실행될 수 있는 취약점 o 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위협이 발생함에 따라, 사용자의 주의 및 조속한 패치가 필요함 □ 영향 o 원격의 사용자가 제로보드4 관리자 권한을 획득할 수 있음 o 획득한 관리자 권한을 이용하여 시스템 내의 임의의 파일 읽기, PHP 명령실행 등이 가.. 2010. 2. 19.
CSRF(Cross-site request forgery) 취약점을 이용한 공격방법 사이트 : http://www.nshc.net 문서 : CSRF_Basic_by_Certlab[1].pdf (http://itka.kr/) CSRF란? CSRF 는 특정 사용자를 대상으로 하지 않고 불특정 다수를 대상으로 로그인된 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정,삭제, 등록등)를 하게하는 공격입니다. CSRF가 성립하려면 수정, 삭제, 등록 하는 액션에서 사용자를 구분하는 파라메터 값이 존재하지 않아야합니다. 특정한 사용자를 구분하는 파라메터가 있다면 하나의 사용자 에게만 적용 되거나 인증에러로공격이 되지 않을 수 있기 때문입니다. 따라서 인증을 쿠키 만으로 관리할 때 CSRF 공격이 쉽게 성공 할 수 있습니다. CSRF 준비하기 1. Local Proxy Tool Proxy.. 2009. 2. 23.