XSS36 국내 공개 웹게시판(익스프레스엔진) XSS 취약점 보안 업데이트 개요 국내 PHP기반의 공개 웹 게시판인 익스프레스엔진에서 XSS 취약점이 발견됨 [1] 취약한 버전을 사용하고 있을 경우, 악의적인 스크립트를 이용하여 관리자 권한탈취, 피싱사이트 유도, 악성코드 경유지/유포지 사이트 유도 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요 해당 시스템 영향 받는 소프트웨어[1] - 익스프레스 엔진1.5.1.8(1.4.5.10포함) 및 이전 버전 해결방안 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [2] ※ 패치 작업 이전에 반드시 Database 및 원본 소스코드파일은 백업 필요 익스프레스 엔진을 새로 설치하는 이용자 - 반드시 보안패치가 적용된 최신버전(1.5.1.10)을 설치 용어 정리 PHP : 동적인 웹사이트를 구현을 .. 2012. 3. 2. 국내 공개 웹 게시판(익스프레스엔진) 보안 업데이트 □ 개요 o 국내 PHP기반의 공개 웹 게시판인 익스프레스엔진에서 Cross Site Scripting 취약점이 발견됨 o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요 □ 해당시스템 o 영향받는 소프트웨어 - 익스프레스 엔진 1.5.1.5 및 이전 버전 □ 해결방안 o 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [1] ※ 패치 작업 이전에 원본 파일은 백업 필요 o 익스프레스 엔진을 새로 설치하는 이용자 - 반드시 보안패치가 적용된 최신버전(1.5.1.6 이상)을 설치 □ 용어 정리 o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어 o XSS (Cross Site Scri.. 2012. 2. 10. wavsep: Web Application Vulnerability Scanner Evaluation Project A vulnerable web application designed to help assessing the features, quality and accuracy of web application vulnerability scanners. This evaluation platform contains a collection of unique vulnerable web pages that can be used to test the various properties of web application scanners. Additional information can be found in the developer's blog: http://sectooladdict.blogspot.com/ Project WAVSE.. 2011. 9. 20. OWASP Top 10 2010 시연 동영상 OWASP Top 10 2010: A1 - Injection OWASP Top 10 2010: A2 - Cross Site Scripting OWASP Top 10 2010: A3 - Broken Authentication and Session Management OWASP Top 10 2010: A4 - Insecure Direct Object References OWASP Top 10 2010: A5 - Cross-Site Request Forgery (CSRF) OWASP Top 10 2010: A6 - Security Misconfiguration OWASP Top 10 2010: A7 - Insecure Cryptographic Storage OWASP Top 10 2010: A8 - Failu.. 2011. 2. 8. MS MHTML 정보유출 취약점 주의 [긴급]모든 윈도우에서 XSS공격 가능한 제로데이 주의보! - 정보 유출뿐만 아니라 임의 스크립트 실행으로 이어질 수 있어 - 조치 : http://go.microsoft.com/?linkid=9760419 다운 후 설치 - 원복 : http://go.microsoft.com/?linkid=9760420 다운 후 설치 □ 개요 o Microsoft社의(이하 MS) 윈도우에서 MHTML을 이용하여 정보를 유출 시킬 수 있는 취약점이 발견됨[1] o 공격자는 웹 페이지 은닉, 스팸 메일, 메신저의 링크 등을 통해 특수하게 조작된 웹페이지를 사용자가 열어보도록 유도하여 악성 스크립트 실행과 정보유출 가능 ※ XSS(Cross-Site Script)공격과 유사한 효과를 가짐 o 해당 취약점의 개념증명코드[2]가.. 2011. 2. 1. 이전 1 2 3 4 5 6 7 8 다음
