본문 바로가기

php65

728x90
PHP File Manager 취약점 주의 권고 개요네덜란드 보안 컨설턴트 시멘 루호프(Sijmen Ruwhof)는 웹기반 File Manager로 사용되는 Revived Wire Media社의 PHP File Manager에서 백도어, 파일 다운로드 취약점 등의 18개 취약점을 발견 영향 받는 소프트웨어PHP File Manager 4.5 이하버전 임시 권고 사항현재 보안 업데이트가 발표되지 않아 패치가 발표 될 때까지 PHP File Manager 사용 자제해당 취약점 문제가 해결될 때까지, 타 File Manager 사용 기타 문의사항한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 2015. 7. 28.
728x90

개요

  • 네덜란드 보안 컨설턴트 시멘 루호프(Sijmen Ruwhof)는 웹기반 File Manager로 사용되는 Revived Wire Media社의 PHP File Manager에서 백도어, 파일 다운로드 취약점 등의 18개 취약점을 발견


영향 받는 소프트웨어
  • PHP File Manager 4.5 이하버전


임시 권고 사항
  • 현재 보안 업데이트가 발표되지 않아 패치가 발표 될 때까지 PHP File Manager 사용 자제
  • 해당 취약점 문제가 해결될 때까지, 타 File Manager 사용


기타 문의사항
  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


728x90
SnortDLP - an open source DLP solution utilizing snort OverviewSnortDLP a.k.a. "Pig Pen" is an open source data loss prevention project that utilizes Snort to detect the exfiltration of sensitive data.FeaturesWeb based applicationWritten in PHP and utilizes a MySQL backend for cross operating system portabilityAdministrative login to protect unauthorized accessDetermines a unique fingerprint forfree textindividual documentseach document in a reposit.. 2014. 7. 8.
728x90

Overview

SnortDLP a.k.a. "Pig Pen" is an open source data loss prevention project that utilizes Snort to detect the exfiltration of sensitive data.

Features

Web based application

  • Written in PHP and utilizes a MySQL backend for cross operating system portability
  • Administrative login to protect unauthorized access
  • Determines a unique fingerprint for
    • free text
    • individual documents
    • each document in a repository of sensitive documents
    • database tables (future)
  • Supports plain text documents (including doc, ppt, etc) and emails
  • Generates Perl-compatible regular expressions (PCREs) and automatically adds a custom snort rule for each document or file
  • Detects and alerts administrators through a Snort interface
  • Flagging and carving out zip/pdf files based on file headers
    • Office 2007 (docx, pptx, xlsx) support
    • PDF support

Future

  • Email integration


PIGPEN INSTALL GUIDE

Dependencies:
-libpcap-dev
-flex
-python -- version?
-pexpect for python (already installed on ubuntu I believe)
-tcpxtract 1.0.1
apt-get install libxml-libxml-perl
apt-get install libarchive-any-perl
libextractor -> apt-get install extract

Permissions:
-in /etc/sudoers
-- under: # User privilege specification
-- add: www-data ALL=NOPASSWD: /bin/mount, /bin/umount, /bin/mkdir, /bin/rmdir



출처 : https://code.google.com/p/snortdlp/

728x90
webhoneypot: Web Application Honeypot webhoneypot is a DShield Web Application Honeypot offering this honeypot for users to capture automated web application exploits. It is a very simple “semi interactive” honeypot implemented in PHP.webhoneypot project is used to develop the honeypot. Do not use this code to install a honeypot unless you are interested in helping development.Prerequisitesfor installing webhoneypot.dshield.org acco.. 2012. 7. 12.
728x90

webhoneypot is a DShield Web Application Honeypot offering this honeypot for users to capture automated web application exploits. It is a very simple “semi interactive” honeypot implemented in PHP.

webhoneypot project is used to develop the honeypot. Do not use this code to install a honeypot unless you are interested in helping development.

Prerequisitesfor installing webhoneypot.

  • dshield.org account
  • Publicly routable IP address that can receive requests on TCP port 80. Dynamic IP addresses are ok, but you should sign up with a dynamic dns provider like dyndns so that you can provide a constant hostname.
  • Linux or Windows machine with a webserver, PHP5 support and the curl extension installed.

 webhoneypot installation section should also be applicable to nearly any LAMP (Linux, Apache, MySQL, PHP) application platform, but the exact paths are taken from Fedora Core, and will need to be altered to match your environment.

Installation is very easy

  1. Extract the archive file honeypot.tgz ( webhoneypot ) to a temporary directory or into the directory for a virtual host that you plan to create.
  2. Edit etcconfig.local and edit the userid (userid=…) and password (password=…) to match your account information for your Dshield login; If you provide the password, the script automatically converts it into a hashed password replacing the password entry. Also, complete the full path to the location where you will be keeping your log files (logdir=…) if different from the default location logs/.
  3. Edit your apache configuration file /etc/httpd/httpd.conf ??
  4. Now copy the four folders and contents into the appropriate folders
  5. Set the appropriate permissions. The userid that your webserver runs under — usually apache — will need read permissions to the template folder. Use the chown command to make apache the owner of the templates folder, then use the chmod command to give the apache user read access to the files. (chmod + r) The apache user will also need write access to the logs folder. Once again change the owner to apache with the chown command and give apache write access with chmod + w.
  6. Test the site. Open a webbrowser and navigate to your webhoneypot site. You should be get back the default template which states that you are using the demo server and welcome to phpmyadmin. Try http://[webhoneypot ip or dns name]/robots.txt and you should get back template 104 which is a robots.txt file. If you get an error instead the most common problems are an incorrect path in one of your configuration files, a permissions problem writing to the logfile, or you did not install the curl extension that is required to post the results back to Dshield. You should be able to determine which one it is by the webpage returned from the server or your logfile if you have one.
  7. Check your logfile. If everything is operating properly, you should see the details of which templates are being matched, and the client request successfully posted to http://isc1.sans.org/weblogs/post.html.
  8. Once you have completed your testing list any operational honeypots under your DShield profile page.
  9. Log in to your account, go to the “my info” page and use the link provided to activate webhoneypot .

Download webhoneypot:

webhoneypot v0.1.r123 – webhoneypot.0.1.r123.tgz


출처 : PenTestIT


728x90
국내 공개 웹게시판(그누보드) XSS 보안 업데이트 □ 개요 o 국내 PHP기반의 공개 웹 게시판인 그누보드에서 XSS 취약점이 발견됨[1] o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취 및 악성코드 유포지로 악용되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요 □ 해당시스템 o 영향받는 소프트웨어[1] - 그누보드 4.36.00 및 이전 버전 □ 해결방안 o 그누보드 4.36.00 및 이전버전 사용자는 4.36.02버전으로 업데이트[1] ※ 패치 작업 이전에 원본 파일은 백업 필요 o 그누보드를 새로 설치하는 이용자 - 반드시 보안패치가 적용된 최신버전(4.36.02)을 설치 □ 용어 정리 o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어 o XSS (Cross Site Scripting) :.. 2012. 7. 2.
728x90

□ 개요

  o 국내 PHP기반의 공개 웹 게시판인 그누보드에서 XSS 취약점이 발견됨[1]

  o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취 및 악성코드 유포지로 악용되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요

 

□ 해당시스템

  o 영향받는 소프트웨어[1]

     - 그누보드 4.36.00 및 이전 버전

 

□ 해결방안

  o 그누보드 4.36.00 및 이전버전 사용자는 4.36.02버전으로 업데이트[1]

    ※ 패치 작업 이전에 원본 파일은 백업 필요

  o 그누보드를 새로 설치하는 이용자

     - 반드시 보안패치가 적용된 최신버전(4.36.02)을 설치

 

□ 용어 정리

  o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어

  o XSS (Cross Site Scripting) : 웹사이트 관리자가 아닌 이가 웹페이지에 클라이언트 사이드 스크립트를 삽입하여 다른 사용자가 이를 실행하게끔 허용하는 취약점

  o 그누보드 : PHP언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임 워크

 

□ 기타 문의사항

  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]

[1] http://sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=7707

728x90
국내 공개 웹 게시판(그누보드) 보안 업데이트 □ 개요 o 국내 PHP기반의 공개 웹 게시판인 그누보드에서 SQL Injection 취약점이 발견됨 o 취약한 버전을 사용하고 있을 경우, 홈페이지 데이터베이스 계정 정보가 유출되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요 □ 해당시스템 o 영향받는 소프트웨어 - 그누보드 4.34.26 및 이전 버전 □ 해결방안 o 기존 그누보드 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [1] ※ 패치 작업 이전에 원본 파일은 백업 필요 o 그누보드를 새로 설치하는 이용자 - 반드시 보안패치가 적용된 최신버전(4.34.27 이상)을 설치 □ 용어 정리 o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어 o SQL Injection : 웹 응용 프로그램에 강제로 SQL구문을 삽입.. 2012. 5. 22.
728x90

□ 개요

  o 국내 PHP기반의 공개 웹 게시판인 그누보드에서 SQL Injection 취약점이 발견됨

  o 취약한 버전을 사용하고 있을 경우, 홈페이지 데이터베이스 계정 정보가 유출되는 등의 피해를 입을 수 있으므로
     웹 관리자의 적극적인 조치 필요

 
□ 해당시스템

  o 영향받는 소프트웨어

     - 그누보드 4.34.26 및 이전 버전

 
□ 해결방안

  o 기존 그누보드 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [1]

    ※ 패치 작업 이전에 원본 파일은 백업 필요

  o 그누보드를 새로 설치하는 이용자

     - 반드시 보안패치가 적용된 최신버전(4.34.27 이상)을 설치

 
□ 용어 정리

  o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어

  o SQL Injection : 웹 응용 프로그램에 강제로 SQL구문을 삽입하여 내부 데이터베이스 서버의 데이터를 유출 및
     변조하고 관리자 인증을 우회할 수 있는 공격

  o 그누보드 : PHP언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임 워크

 
□ 문의사항

  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 
□ 기타

  o 본 취약점은 Krcert 홈페이지를 통해 김동현(Black Falcon)님께서 제공해주셨습니다.

 
[참고사이트]

[1] http://sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=7465

728x90
728x90