'HTML'에 해당되는 글 8건

  1. 2012.07.27 HTML 태그 활용한 XSS 취약점 발견!
  2. 2011.06.27 KISA, 웹 표준 및 액티브X 대체기술 교육
  3. 2011.05.06 SmartFTP Password Decryptor (free)
2012.07.27 02:09

HTML 태그 활용한 XSS 취약점 발견!

embed와 object 활용한 취약점...CSRF, 악성코드 유포에 악용 가능


[보안뉴스 김태형] 아직 패치가 되지 않은 제로데이 취약점이 발견되어 주의가 요구된다. 이번 취약점을 발견해 본지에 알려온 제보자에 의하면 “이번 취약점은 웹페이지에 사용되는 HTML 태그인 embed와 object를 활용한 XSS 취약점이며, 이 취약점이 악용되는 것을 우려해 한국인터넷진흥원에 통보한 상황”이라고 밝혔다. 

제보자에 따르면 “이 취약점은 최신 익스프레스 엔진(XpressEngine, 이하 XE) 게시판에 글쓰기로 삽입이 가능하며, 이를 통해 악성코드 유포 등의 악용이 가능하다” 고 설명했다. 그러나 그는 “그나마 다행스러운 건 이 취약점으로 관리자 계정 탈취는 쉽지 않다는 것”이라고 덧붙였다.


즉, iframe 식으로 페이지가 포함되는 것이어서 XE에서는 관리자 권한 탈취가 불가능하지만, CSRF(Cross Site Request Forgery)나 악성코드 유포에 악용될 수 있다는 것.


CSRF는 XSS와 달리 Javascript를 사용할 수 없는 상태에서도 공격이 가능한 방법이다. 이는 사이트에서 제공하는 기능을 피해자의 웹 브라우저에서 요청시키도록 하는 공격으로, 공격자의 악성코드를 읽은 피해자는 요청을 서버로 보내게 되고 서버는 피해자의 권한으로 요청에 대한 처리를 하게 된다는 것이다.


제보자는 “HTML 태그의 일종인 object, embed 모두 IE9, Chrome에서 작동이 되는 것으로 확인됐다. 다만 embed의 경우에는 구형 브라우저에서는 작동이 되지 않았다”고 설명했다.


이번 취약점과 관련해 확장자 검사를 하지 않는 한 아직 적절한 대응방법이 없는 것으로 알려져 사용자들의 주의와 함께 별도의 대책이 마련되어야 할 것으로 보인다.

[김태형 기자(boan@boannews.com)]



출처 : 보안뉴스


Trackback 3 Comment 0
2011.06.27 18:51

KISA, 웹 표준 및 액티브X 대체기술 교육

KISA(한국인터넷진흥원, 원장 서종렬)는 차세대 웹 표준(HTML5 등) 및 액티브X 대체기술에 대한 교육을 6월 23일부터 4차례에 걸쳐 주요 100대 사이트 담당자 및 웹 개발자 대상으로 시행한다고 밝혔다.

KISA아카데미에서 개최되는 '제1기 웹 표준 및 액티브X 대체기술 교육'은 웹 표준 동향, 브라우저별 웹 표준 적용, 모바일 웹 표준, 액티브X 대체기술에 대한 이론 및 실습 교육으로 구성되었다.

이번 교육은 액티브X 과다사용에 따른 웹 호환성 및 보안성 문제를 개선하고 향후 모바일 환경에 적합한 웹 표준환경을 구현하기 위해 지난 3월 방송통신위원회가 발표한 ‘인터넷 이용환경 개선 추진계획’의 일환으로 진행된다. ‘인터넷 이용환경 개선 추진계획’은 웹 서비스 제공자 대상 액티브X 대체기술 적용 컨설팅, 웹 개발자 대상
웹 표준 및 액티브X 대체기술 교육, 인터넷 이용자 대상 캠페인 등의 내용을 포함하고 있다.

서종렬 KISA 원장은 “이번 교육 수요 및 만족도, 성과에 따라 향후 교육대상과 교육기회를 확대해 나갈 방침“
이라며 ”KISA는 최고의 인터넷, 정보보호 전문기관으로서 앞으로 인터넷 이용환경 개선을 위해 지속적으로
기여하겠다“고 말했다.

차기 교육은 7월, 9월, 10월 중 시행될 예정이며 교육신청은 온라인 홈페이지(web.kisa.or.kr)에서 가능하다.

한편, KISA는 이번 교육과 더불어 인터넷 이용환경 개선 선포식 및 세미나, 구버전 브라우저 업그레이드 및
멀티 브라우저 사용환경 조성을 위한 캠페인 등도 ‘인터넷 이용환경 개선 추진계획’의 일환으로 7월 중 진행할
예정이다.
시 간 프로그램
10:00 ~ 10:30 [인터넷 이용환경 개선 사업 소개]
10:30 ~ 11:00 [IPv6 전환 사업 소개]
11:00 ~ 12:00 [웹 표준 동향]
  • - W3C의 웹 표준 권고안
  • - 국내외 주요 웹 표준 사례
12:00 ~ 13:00 Lunch
13:00 ~ 14:00 [브라우저별 웹 표준 적용]
  • - 브라우저별 HTML5 적용 사례
  • - 브라우저별 CSS3 적용 사례
14:00 ~ 15:00 [모바일 웹과 표준 트렌드]
  • - 모바일 브라우징을 위한 기본 웹 표준
  • - 한국형 DDC1.5 권고안
  • - 모바일 웹 표준 사례
15:00 ~ 15:20 Coffee Break
15:20 ~ 16:00 [엑티브X 대페기술 소개]
  • - 국내외 액티브X 현황
  • - 액티브X 주요기능에 대한 대체기술
16:00 ~ 18:00 [실습]
  • - HTML5 코딩 및 CSS3 코딩 실습
  • - 액티브X 대체기술 적용 웹 사이트 제작 실습


출처 : 한국인터넷진흥원

Trackback 0 Comment 0
2011.05.06 09:57

SmartFTP Password Decryptor (free)

About SmartftpPasswordDecryptor
 

SmartftpPasswordDecryptor is the FREE software to instantly recover FTP login passwords stored by SmartFTP - one of the popular FTP clients. SmartFTP stores the password for all the past FTP sessions in user profile location so that user don't have to enter it every time. SmartftpPasswordDecryptor makes it easy to quickly scan & decrypt all these stored FTP login passwords

It presents both GUI as well as command line interface which will be useful for penetration testers. Apart from normal users who can use it to recover their lost password, Forensic folks can use it to quickly recover stored FTP login information. 
 
You can either use it to automatically recover the stored passwords from local system or recover passwords from remote machine by manually feeding SmartFtp profile path. SmartftpPasswordDecryptor works on most of the Windows platforms starting from Windows XP to latest operating system, Windows 7.

Features of SmartftpPasswordDecryptor

Here are the highlights of top features of SmartftpPasswordDecryptor
  •  Instantly decrypt and recover all stored FTP login passwords from SmartFTP..
  •  Comes with both GUI interface as well as Command-line version.
  •  Useful for Penetration testers as well as Forensic investigators.
  •  Recover password of any length and complexity.
  •  Save the recovered password list to HTML file for transferring to other system or for future use.
  •  Easier and faster to use with its enhanced user friendly GUI interface.
  •  Support for local Installation and uninstallation of the software. 

Installing SmartftpPasswordDecryptor

SmartftpPasswordDecryptor comes with Installer so that you can install it locally on your system for regular usage. It has intuitive setup wizard (as shown in the screenshot below) which guides you through series of steps in completion of installation. At any point of time you can use Uninstaller to remove the software from the system.


Using SmartftpPasswordDecryptor
SmartftpPasswordDecryptor is easy to use with its simple GUI interface.  

Here are the brief usage details
 
Using GUI Version

  •  Launch SmartftpPasswordDecryptor after completion of installation.
  •  Next click on 'Start Recovery' button and all ftp login passwords stored by SmartFtp will be recovered & displayed as shown in screenshot 1 below.
  •  By default passwords are not shown for security reasons as it is sensitive data. However you can click on'Show Password' button at the bottom to view these passwords.
  •  Finally you can save all recovered password list to HTML file by clicking on 'Export to HTML' button.


Using Command-line Version
 
Here is the typical usage of command line version
 
   SmartftpPasswordDecryptor.exe  "<output_file path>"
 
Here are some of the examples

//Writes recovered password to text file in current directory
SmartftpPasswordDecryptor.exe  pass.txt 

//Writes recovered password to HTML file in current directory
SmartftpPasswordDecryptor.exe  pass.html

//Writes recovered password to TEXT file 
SmartftpPasswordDecryptor.exe  "c:\my test\passlist.txt"

 
It automatically detects the mode (text or html) by using the extension of the specified file (txt or html). By default (or if no extension is specified) it uses the TEXT mode. For more examples refer to Screenshot 2 below.

Screenshots of SmartftpPasswordDecryptor

Here are the screenshots of SmartftpPasswordDecryptor
 
Screenshot 1:SmartftpPasswordDecryptor is showing the recovered ftp login passwords. Passwords are not shown being sensitive data, you can turn on by clicking on 'Show Password' button below.

Screenshot 2:  Command line usage of SmartftpPasswordDecryptor showing various examples.

Screenshot 3:  Exported list of of recovered ftp login passwords by SmartftpPasswordDecryptor in HTML format.


출처 : securityxploded.com

Trackback 0 Comment 0