2014.02.25 00:14
 
 

우연히 알아낸 에러코드 노출 취약점..


정보들 다 긁어낼 수 있을지는 확인해봐야되는데..

잠을 자고 싶으니 PASS~~


물론.. 담당자에겐 연락했으니 조치가 취해지겠지요..


개인정보 조심해야되는데.. ^^;;




저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

S사 에러코드 노출 취약점  (0) 2014.02.25
모 반도체회사 취약점 조치완료.  (0) 2013.01.16
휘슬(WHISTL) 3탄~  (4) 2013.01.14
KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
Posted by Sun2Day

댓글을 달아 주세요

2013.01.16 15:09
 
 

모 반도체회사 취약점과 관련된 사항은


아래와 같은 권고사항 전달하였습니다.



  

취약점

백업파일(bak) 노출

권고사항

서버에 존재하는 모든 백업파일(bak) 삭제

 

취약점

디렉토리 리스팅 가능

권고사항

httpd.conf 설정 파일에서 설정

 

취약점

개발 Default/Test 페이지 노출 및 존재

권고사항

해당 매뉴얼 삭제

 

취약점

Upload 디렉토리에서 jsp 파일이 실행권한 갖음

권고사항

Upload 디렉토리 실행권한 제거 (httpd.conf 설정 파일에서 설정)

 

취약점

Google 검색에 의한 정보 노출

권고사항

Google 에 요청하여 취약한 백업파일 제거

크롤링 및 bot검색을 차단하기 위한 robot.txt 설정

 



저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

S사 에러코드 노출 취약점  (0) 2014.02.25
모 반도체회사 취약점 조치완료.  (0) 2013.01.16
휘슬(WHISTL) 3탄~  (4) 2013.01.14
KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
Posted by Sun2Day

댓글을 달아 주세요

2013.01.15 00:07

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

2013.01.14 21:41
 
 

서론.

최근.. 무슨 이유인지는 모르겠으나.. (사실 알고 있지만)

휘슬을 검색해서 들어오시는 분들이 많아졌습니다.

혹여나 궁금해하실까봐

추가적인 내용을 적게 되었습니다. ^^

서론 끝.






작년 1월에 패턴추출한 이후...


1년만에 다시 패턴을 추출하였습니다.

작년에 1144개 였는데.. 올해 보니까 2165개라네요..

(작년 갯수는 휘슬 2탄글을 보시면 확인 하실 수 있습니다.)


패턴이 무려 2배 가량 많아졌습니다...

자. 그럼 이제부터.. 패턴들이.. 양만 많이졌는지.. 질적으로 좋아졌는지 확인을 좀 해볼까요? ^^





제가 추출을.. 좀 허접하게해서 패턴 갯수가 잘 안맞네요..


패턴 갯수 : 2165개

추출 패턴 : 2170개..?





5개 정도 쓰레기 값이 들어갔거나.. 중복패턴이 들어간 것으로 생각됩니다.

뭐.. 5개정도.. 개의치 않고.. 계속 확인 작업 들어갑니다.

(사실.. 2165개나 되는 패턴을 하나하나 살펴보기가.. 문뜩 두려워졌습니다. -_-ㅋ)





보이시나요?


작년 휘슬패턴 : 144개

올해 휘슬패턴 : 166개 (쓰레기 값으로 오차범위 +- 5 입니다)


휘슬만으로 따지면 1년동안 22개 가량의 패턴이 추가된 셈입니다.

한달에 약 2개정도의 패턴이 추가된 셈이군요.


자.. 이제 여기서 우리가 깨닳아야되는 진실...


패턴은 총 1년사이 1021개가 늘어났으나

휘슬 패턴은 1년 사이 22개가 늘어났고

결과적으로 MC Finder 패턴이 999개 늘어났다는 사실.....

(물론.. 2탄에서도 말씀드렸지만.. 사라지는 패턴도 있고 수정되는 패턴도 있습니다. 여기서 말하는 숫자는 단지 숫자일 뿐입니다.)


MC Finder 가 뭔지 모르시는 분들을 위해..





악성코드 은닉 사이트 탐지 프로그램입니다.

하지만.. 자.. 다시 위에 그림을 보시죠...


악성코드 은닉 사이트 탐지 프로그램의 패턴 실체는.. 그냥 악성 URL 일 뿐입니다...

악성코드가 이름을 바꾼다던가.. IP 혹은 Domain 을 변경하여 유포하면 탐지가 안되는 패턴들이죠..


하루에도 수백개의 악성코드가 만들어진다는데.. 사실상.. 별로 필요하지 않은 패턴들이지 않나 싶습니다.

물론.. 빠른 대응을 받으면 좋긴하겠지만요......


해당 패턴 + 보유 패턴으로 웹쉘탐지프로그램 개발이라던가..

침해사고 조사에 쓰일 수 있는 자료들이 더욱더 추가되었네요.


하핫.. 내년 1월에 4탄으로 다시 돌아오겠습니다.

혹은.. 다른툴 패턴으로 찾아뵙겠습니다.


to be continued..





저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

S사 에러코드 노출 취약점  (0) 2014.02.25
모 반도체회사 취약점 조치완료.  (0) 2013.01.16
휘슬(WHISTL) 3탄~  (4) 2013.01.14
KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
Posted by Sun2Day

댓글을 달아 주세요

  1. 2013.01.15 09:18  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. 2013.01.15 11:40  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  3. 2013.06.03 16:35  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

2012.12.14 11:59
 
 

운이 좋게도..
어찌저찌해서 그누보드 XSS 취약점을 제보.

메일이 오네요..
어제는 보상 관련 메일이 왔습니다.


덕분에.. 술마실 정도의 돈이 생겼어요 ^^;


취약점 찾으시는 분들은.. KISA 에 꼭 제보하세요!!

(용돈이 생깁니다.)


Thanks to 강섭이형.~







저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

모 반도체회사 취약점 조치완료.  (0) 2013.01.16
휘슬(WHISTL) 3탄~  (4) 2013.01.14
KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
휘슬(WHISTL) 2탄~  (4) 2012.01.09
Posted by Sun2Day

댓글을 달아 주세요

  1. 2013.01.08 20:39  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. hckku17 2013.01.11 10:42 신고  댓글주소  수정/삭제  댓글쓰기

    지금도 실시되고있는 제도인가요??

2012.02.09 11:53
 
 
점검 중..
스팸메일이 오는 것으로 추정되는 메일서버 발견..

차단하기전에 정말 악성서버인지 파악하기 위해 들어갔는데..
디렉토리 리스팅이 되네..?

가볍게 돌아보는데.. 음..??


CVS 서버라... -_-ㅋ;;

해당 CVS 서버에는 접속이 되지 않았다.
스팸메일서버인지 점검하러 갔다가 얻어걸린 것..

CVS서버인데 패스워드가 1111이 뭐니..!!

개발자의 보안인식이 중요하고.. 암호화가 역시 중요하다..
하지만 뭐.. 보안이라는게 사람들에게 중요시 인식되기 시작한지 얼마 안되서..

예전 프로그램들은 취약점들이 많을 듯.....


저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

휘슬(WHISTL) 3탄~  (4) 2013.01.14
KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
휘슬(WHISTL) 2탄~  (4) 2012.01.09
TOP 100 Shells  (0) 2011.07.06
Posted by Sun2Day

댓글을 달아 주세요

  1. MaJ3stY 2012.02.16 09:49 신고  댓글주소  수정/삭제  댓글쓰기

    1111.... 헐 내 vm 환경에서도 볼 수 없는 비번인데 ㅋㅋㅋ

2012.01.26 14:12
 
 
특정 솔루션에 한해서 먹히긴하지만.......
SQL 인젝션.. 이라고 말하기도 부끄럽다..
아직도 이런게 먹힐 줄이야..

URI에 ' 도 없이 SQL 쿼리를 날렸는데.. 먹히네..

select * from usr

하하..

정리 좀 하고.. 나중에 공개~
우연하게 얻어걸리긴했지만.. 취약점 연구는 재밌는 것~
저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
휘슬(WHISTL) 2탄~  (4) 2012.01.09
TOP 100 Shells  (0) 2011.07.06
Web Hacking Inspection Security Tool  (4) 2011.01.07
Posted by Sun2Day
TAGSQL

댓글을 달아 주세요

  1. applicationlayer 2012.02.01 14:45 신고  댓글주소  수정/삭제  댓글쓰기

    sun2day멋지당~ㅎㅎ

  2. MaJ3stY 2012.02.01 16:07 신고  댓글주소  수정/삭제  댓글쓰기

    아직도 그런곳이 많은 것 같아요 ㅎㅎ

  3. MaJ3stY 2012.02.02 09:21 신고  댓글주소  수정/삭제  댓글쓰기

    예전에 보안인증 받은 웹하드가 있었는데 거기도 blind sql 취약점이 있었어요...

    요즘은 인증이 소용없는거 같아요 ㅎ

2012.01.09 09:26
 
 
작년 1월 경, 휘슬 패턴을 추출한적이 있습니다.
지인이 해보라고 해서.. 했던거고.. 그땐 그걸 어떤식으로 사용할 수 있을지를 몰랐더랬죠..
1년이 지난 얼마전에 다시 한번 휘슬 패턴을 추출하였습니다.
역시.. 이번 추출도 공부 목적!!
(단, 저번에는 뚫는데 목적이 있었으나.. 이번엔 웹쉘 탐지패턴을 이해하고자 하는 바램에서.. ^^;)

근데 저번이랑 똑같은 프로그램인데도.. 작년이랑 틀리게.. 너무 쉽게 풀어버렸습니다;;
작년엔 왜 코드의 흐름을 그렇게 생각했을까요? ^^;;

암튼.. 아래가 휘슬 패턴의 일부분 입니다.


너무 작나요? ^^; 클릭하면 크게 보일지도 모르겠네요..

좌측이 작년버전.. 우측이 얼마전에 추출한 버전입니다.
뭔가 이상한게 보이시나요?

네. 패턴 넘버는 똑같은데 패턴이 조금 변경된 것들이 다수 있네요.
네. 패턴이 삭제된 것들이 있네요.
네. 패턴이 추가된 것들이 있네요.

홈페이지에도 패턴 업데이트 관련 공지사항이 없어 언제 업데이트가 된건진 모르겠으나..
업데이트가 되고있고
업데이트 시, 패턴 파일 전체가 업데이트 되는 듯 싶으며..
꾸준히 관리하면서 오탐나는 패턴은 수정/삭제가 이루어지는 듯한 모습이네요.

올해 추출한 패턴은 1144개.
구체적으로 추가/변경/삭제 된 패턴은 비교분석해봐야 알겠지만.. 이 또한 공부가 많이 되겠네요 ^^


저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
휘슬(WHISTL) 2탄~  (4) 2012.01.09
TOP 100 Shells  (0) 2011.07.06
Web Hacking Inspection Security Tool  (4) 2011.01.07
Posted by Sun2Day

댓글을 달아 주세요

  1. MaJ3stY 2012.01.10 14:37 신고  댓글주소  수정/삭제  댓글쓰기

    휘슬 패턴이라... 전 패턴만 보면 머리 아프던데 ㅠㅠ

  2. 잔향-수 2012.02.27 11:18 신고  댓글주소  수정/삭제  댓글쓰기

    패턴 좀 받아볼 수 있을까요? 보안관련 공부를 하고 있는데 내공이 부족해서요^^; zizeaz@naver.com

  3. 잔향-수 2012.04.22 14:55 신고  댓글주소  수정/삭제  댓글쓰기

    ^^ 네~ 답변 감사합니다.

2011.07.06 09:38
 
 
출처 : http://malwarelab.tistory.com/147

웹은 딱히 내 취향은 아니지만.. 공부공부!!
웹쉘 100개..
시간날때 하나씩 구해서 해봐야지..
언젠간 도움이 되거찌~~~~ +_+;;
(근데 어서 구하지? -_-ㅋㅋ)

C99Shell v. 1.0 beta (5.02.2005)  PHP   
Cyber Shell  PHP   
GFS Web-Shell  PHP   
NFM 1.8  PHP   
r57shell  PHP   
Small Web Shell by ZaCo  PHP   
nsTView v2.1  PHP   
DxShell v1.0  PHP   
C99madShell v. 2.0 madnet edition  PHP   
CTT Shell  PHP   
GRP WebShell 2.0 release build 2018 (C)2006,Great  PHP   
Crystal shell  PHP   
Loaderz WEB Shell  PHP   
NIX REMOTE WEB SHELL  PHP   
Antichat Shell  PHP   
CasuS 1.5  PHP   
Sincap 1.0  PHP   
C99Shell v. 1.0 pre-release build(safe-mode)  PHP   
hiddens shell v1  PHP   
Web-shell (c)ShAnKaR  PHP   
Predator  PHP   
KA_uShell 0.1.6  PHP   
NGH  PHP   
C2007Shell v. 1.0 pre-release build #16 Modded by Adora & u9 h4c93r  PHP   
Antichat Shell. Modified by Go0o$E  PHP   
c0derz shell [csh] v. 0.1.1 release  PHP   
iMHaBiRLiGi Php FTP  PHP   
PHVayv  PHP   
phpRemoteView  PHP   
STNC WebShell v0.8  PHP   
MyShell  PHP   
ZyklonShell  PHP   
AK-74 Security Team Web Shell Beta Version PHP   
Gamma Web Shell  Perl-Cgi   
go-shell  Perl-Cgi   
PhpSpy Ver 2006 Perl-Cgi   
CmdAsp.asp.txt  ASP   
CyberSpy5.Asp.txt  ASP   
klasvayv.asp.txt  ASP   
indexer.asp.txt  ASP   
NTDaddy v1.9  ASP   
reader.asp.txt  ASP   
RemExp.asp.txt  ASP   
zehir4.asp.txt  ASP   
Elmaliseker.txt  ASP   
EFSO_2.txt  ASP   
accept_language  PHP   
Ajax_PHP Command Shell  PHP   
Antichat Shell v1.3  PHP   
Ayyildiz Tim -AYT- Shell v 2.1 Biz  PHP   
aZRaiLPhp v1.0  PHP   
backupsql  PHP   
c99  PHP   
c99_locus7s  PHP   
c99_madnet  PHP   
c99_PSych0  PHP   
c99_w4cking  PHP   
Crystal  PHP   
ctt_sh  PHP   
cybershell  PHP   
dC3 Security Crew Shell PRiV  PHP   
Dive Shell 1.0 - Emperor Hacking Team  PHP   
DTool Pro  PHP   
Dx  PHP   
GFS web-shell ver 3.1.7 - PRiV8  PHP   
gfs_sh  PHP   
h4ntu shell [powered by tsoi]  PHP   
iMHaPFtp  PHP   
ironshell  PHP   
JspWebshell 1.2  PHP   
KAdot Universal Shell v0.1.6  PHP   
lamashell  PHP   
Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit  PHP   
load_shell  PHP   
matamu  PHP   
Moroccan Spamers Ma-EditioN By GhOsT  PHP   
myshell  PHP   
Mysql interface v1.0  PHP   
MySQL Web Interface Version 0.8  PHP   
mysql  PHP   
mysql_tool  PHP   
NCC-Shell  PHP   
NetworkFileManagerPHP  PHP   
NIX REMOTE WEB-SHELL v.0.5 alpha Lite Public Version  PHP   
nshell  PHP   
nstview  PHP   
PH Vayv  PHP   
PHANTASMA  PHP   
PHP Shell  PHP   
php-backdoor  PHP   
php-include-w-shell  PHP   
pHpINJ  PHP   
PHPJackal  PHP   
PHPRemoteView  PHP   
Private-i3lue  PHP   
pws  PHP   
r57  PHP   
r57_iFX  PHP   
r57_kartal  PHP   
r57_Mohajer22  PHP   
rootshell  PHP   
ru24_post_sh  PHP   
s72 Shell v1.1 Coding  PHP   
Safe0ver Shell -Safe Mod Bypass By Evilc0der  PHP   
Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2  PHP   
SimAttacker - Vrsion 1.0.0 - priv8 4 My friend  PHP   
simple_cmd  PHP   
simple-backdoor  PHP   
SimShell 1.0 - Simorgh Security MGZ  PHP   
SnIpEr_SA Shell  PHP   
Uploader  PHP   
WinX Shell  PHP   
Worse Linux Shell  PHP   
zacosmall PHP   
Antichat Shell v1.3 PHP   
Ayyildiz Tim -AYT- Shell v 2.1 Biz PHP   
aZRaiLPhp v1.0 PHP   
CrystalShell v.1 PHP   
Cyber Shell (v 1.0) PHP   
dC3 Security Crew Shell PRiV PHP   
Dive Shell 1.0 - Emperor Hacking Team PHP   
DxShell.1.0 PHP   
ELMALISEKER Backd00r ASP   
GFS web-shell ver 3.1.7 - PRiV8 PHP   
h4ntu shell [powered by tsoi] PHP   
JspWebshell 1.2 JSP   
KAdot Universal Shell v0.1.6 PHP   
Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit PHP   
Macker's Private PHPShell PHP   
Mysql interface v1.0 PHP   
MySQL Web Interface Version 0.8 PHP   
NIX REMOTE WEB-SHELL v.0.5 alpha Lite Public Version PHP   
Perl Web Shell by RST-GHC PL   
Private-i3lue PHP   
RedhatC99 [login=redhat-pass=root] PHP   
Rootshell.v.1.0 PHP   
s72 Shell v1.1 Coding PHP   
Safe0ver Shell -Safe Mod Bypass By Evilc0der PHP   
Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2 PHP   
SimAttacker - Vrsion 1.0.0 - priv8 4 My friend PHP   
SimShell 1.0 - Simorgh Security MGZs PHP   
WinX Shell PHP   
Worse Linux Shell PHP
저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
휘슬(WHISTL) 2탄~  (4) 2012.01.09
TOP 100 Shells  (0) 2011.07.06
Web Hacking Inspection Security Tool  (4) 2011.01.07
Posted by Sun2Day

댓글을 달아 주세요

2011.01.07 12:34
 
 

KISA 에서 Web Hacking Inspection Security Tool라는.. 줄여서 WHISTL..
휘슬이라는 툴을 민간에 배포하여 WebShell과 Malware Domain URL을 탐지하는 솔루션이다.

해당 툴을 받아서 으샤으샤!! 하면 툴안에 있는 다양한 패턴들을 확인할 수 있다.

별로 어렵진 않으니 휘슬을 구할 수 있게되면 한번정도씩 패턴이 어떤게 들어있는지 보면서 공부하는 것도 좋을 것 같다.



휘슬이란게 존재한다는 것만 알았지, 한번도 쓸 생각을 안해봤었는데
개인적으로 안타까운 점은 아래와 같다.
1. Not use packer.
2. Not use Anti-Reverse technic.
3. Decode code Locate to code head.
4. Not use decoding to need

영어를 못하는지라.. 당연히 문법에 맞지 않았을테지만.. 아쉬운건 저런 부분?
(알아서 해석? ^^;;)
4번의 경우는 속도면에서 당연히 뺀거겠지만.. 확장자를 지정해서 Search 하는데.. 굳이 저랬어야되었을까.. 라는 생각이 =_=;





저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
휘슬(WHISTL) 2탄~  (4) 2012.01.09
TOP 100 Shells  (0) 2011.07.06
Web Hacking Inspection Security Tool  (4) 2011.01.07
Posted by Sun2Day

댓글을 달아 주세요

  1. 엔신 2011.01.24 16:04 신고  댓글주소  수정/삭제  댓글쓰기

    패턴 암호화보다 운영자들이 돌리기를 싫어함
    상당히 디스크 과부하를 일으켜서 운영 서버에서 돌려야 하는 상황에도 정작 돌리지 못하거나 다른 툴을 요구하기도 함.....

    • Sun2Day 2011.01.24 16:20 신고  댓글주소  수정/삭제

      한번 털려봐야..
      아...
      빨리 보안담당자를 한명 둘껄.. 이러지 -_-ㅋ

      아니면 네트워크 담당자에게 보안도 시키던가 =_=ㅋ

  2. 노을 2012.02.21 17:54 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요. 컴퓨터 보안을 공부하고 있는 학생입니다.
    다름이 아니라, 이번에 휘슬을 사용해 보고 휘슬 탐지패턴에 대해 궁금증이 많은데요, 해당 패턴을 어떻게 풀 수 있는지 약간만 한트를 주시면 안될까 해서 댓글을 남깁니다.
    pattern.bin 파일을 열어봐도 잘 모르겠네요.. ㅠㅠ
    도움 부탁드립니다.

    • Sun2Day 2012.02.22 13:41 신고  댓글주소  수정/삭제

      패턴파일을 건드리지마시고요.
      디버거로 디버깅을 하되..
      string을 중심적으로 보세요. ^^;

      pattern.bin 파일에는 암호화가 되어있습니다.
      복호화를 생각하지마시고 크랙을 하신다고 생각하시면 금방될 듯 합니다. ^^;
      (그리고 다음에 저에게 또 물어보실 일이 있으신지는 모르겠지만 누군지 좀 더 밝혀주세요 ^^; 그래야 제가 답변을 해드릴지말지가 정해지니까요 ^^; 이번껀은 초급난이도 이기 때문에 그냥 말씀드리는겁니다 ^^;)


티스토리 툴바