WPA Crack 지원 사이트(?)

(무선)네트워크 2009. 12. 8. 13:31 Posted by TEAMCR@K

 관련 정보 : http://www.net-security.org/secworld.php?id=8585&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+HelpNetSecurity+%28Help+Net+Security%29

WPA Crack 사이트 : http://www.wpacracker.com/


단돈 2만원이면 듀얼코어가 5일이 넘게 걸리는 것을 20분이면 끝내준다는 부분이 눈에 들어옵니다.

클라우드 컴퓨팅이 좋긴 좋네요..

그렇게 했는데.. 1억 3천 5백만 개에 들어있지 않는 단어가 패스워드라면??? 그래서 쓸데없는 짓을 좀 해봅니다;;;;

1234567890abcdefghijklmnopqrstuvwxyz!@#$%^&*()-_=+}]{'";:?/.>,<\|~`ABCDEFGHIJKLMNOPQRSTUVWXYZ (총 94개)

특수기호 제외 (62개)

대문자 제외 (36개)

확률 적인 계산이긴 하지만.. 참 신기하게도 어마어마하게 들렸던 1억 3천 5백만이라는 숫자(135,000,000)가 94와 62, 그리고 36을 곱해가기 시작하니까 초라해지네요;;

우리가 보통 추천하는 비밀번호 8글자 이상..

94 ^ 8 = 6095689385410816

62 ^ 8 = 218340105584896

36 ^ 8 = 2821109907456 ( 2조 8천억...억....억....;;;;) 위는 볼것도 없군요;;;

이거 머 게임도 안되는데 너무 큰 기대를 했었나봅니다... 그래서 한 수 접고 5글자로 계산해보니까...

94 ^ 5 = 7339040224

62 ^ 5 = 916132832

36 ^ 5 = 60466176 ( 드디어 가시권에 들어왔네요...) 6천만개...

여기다가 다시 36을 곱하면 1억을 안 넘을리가 없겠죠...ㅎㅎ

135 billion이 되면 취약한 패스워드는 점검해볼만 하겠네요.

저작자표시 비영리 변경금지

[온라인 교육] 개인정보보호 담당자 과정

보안 소식/교육 및 세미나 2009. 12. 8. 13:20 Posted by TEAMCR@K

주요 교육내용은 ▲개인정보를 수집하는 경우에는 본인에게 수집목적 등을 알리고 동의를 받도록 하고, 수집한 목적 범위 내에서만 개인 정보를 이용하도록 하며, 수집목적이 달성되면 즉시 파기하도록 하는 등의 개인정보 라이프사이클(Life Cycle)별 보호조치 사항 ▲개인정보의 안전한 취급을 위한 내부 계획의 수립, 개인 정보 관리책임자 지정 및 정기적인 자체감사 실시 등 개인정보의 안전성 확보에 필요한 관리적 조치사항 ▲개인정보시스템에 대한 접근권한 제한 및 인증 조치, 개인정보 저장·전송시 암호화 조치, 접속기록의 위·변조 방지 등 기술적 조치사항 등이다.

보안뉴스 링크 : http://www.boannews.com/media/view.asp?idx=18825&kind=2


SIS 개인 정보 교육 사이트 : http://www.sis.or.kr/learning/privacyCourse.sis

플래시로 진행이 되기 때문에 배우기 쉽고 재미있습니다.^^)...수료증도 발급되는듯??




저작자표시 비영리 변경금지

KOSR 31차 세미나 후기

CR@K 이야기 2009. 12. 8. 09:51 Posted by 알 수 없는 사용자

2009.12.5. 에 열렸던 KOSR 31차 세미나에 다녀왔습니다.

(주)볼트 마이크로 대표이신 최장욱 님 께서 발표를 하셨는데 내공이 꽉찬 분 이시라 많은걸 배울 수 있었습니다.

드라이버 스택에 관련된 이야기를 강조 하셨고, WinDBG 팁, DeviceTree등
 
자세히 말씀해 주셔서 관련내용을 다시 되새길 수 있었던 시간이었던 것 같습니다.

궁금한게 많아서인지 질문도 많이 했지만 맨 앞에 앉게 되어서 그런지 뭔가 시간이 남았을 때 저한테 자꾸 질문하라는
 
무언의 압박으로 인해 ㅠ_ㅠ

본의아닌 질문을 하기도 했습니다.

주말에 약속이 취소되서 어찌어찌 세미나 뒤풀이까지 따라가게 되었습니다. ㅎㅎ

하제소프트 분들, 드라이버 개발자를 위한 윈도우 파일시스템 저자 이병오 님, 알약 개발팀장님등 유명하신분들이 많이 오셨습니다.

많은 다양한 일을 하시는 분들이 많았는데 그 중 이상하게 기억에 남는 분은

파일시스템 드라이버를 이용하여 X동을 차단하는 일을 하신다는 분이셨습니다.

여러 개발자분들과 많은 이야기를 나누었고, 유익한 시간이었습니다. :)

Preventing JavaScript Injection Attacks

보안 소식/주간 이슈 2009. 12. 7. 11:00 Posted by 알 수 없는 사용자
asp.net 환경에서 JavaScript Injection 취약점이 실행되는 것을 HTML Encode을 적용하여 예방할 수 있습니다.

다음은 website에 입력값이 들어올 때 HTML encode을 적용하여 JavaScript injection attack을 예방할수 있는 간단한 소스코드 입니다.

Index.aspx (HTML Encoded)
<%@ Page Language="VB" MasterPageFile="~/Views/Shared/Site.Master" AutoEventWireup="false" CodeBehind="Index.aspx.vb" Inherits="CustomerFeedback.Index"%>

<asp:Content ID="indexContent" ContentPlaceHolderID="MainContent" runat="server">
     <h1>Customer Feedback</h1>
     <p>
          Please use the following form to enter feedback about our product.
     </p>

     <form method="post" action="/Home/Create">
          <label for="message">Message:</label>
          <br />
          <textarea name="message" cols="50" rows="2"></textarea>
          <br /><br />
          <input type="submit" value="Submit Feedback" />
     </form>

     <% For Each feedback As CustomerFeedback.Feedback In ViewData.Model%>
          <p>
          <%=feedback.EntryDate.ToShortTimeString()%>
          --
          <%=Html.Encode(feedback.Message)%>
          </p>
     <% Next %>

</asp:Content>

<%=Html.Encode(feedback.Message)%> 부분이 HTML encoded를 적용하게 됩니다.
<script>alert("a3sc");</script> → &lt;script&gt;alert(&quot;Boo!&quot;)&lt;/script&gt;

HTML encode가 적용되어 취약점이 실행되지 않은 화면입니다.


HomeController.cs (HTML Encoded)
Public Class HomeController
     Inherits System.Web.Mvc.Controller

     Private db As New FeedbackDataContext()

     Function Index()
          Return View(db.Feedbacks)
     End Function

     Function Create(ByVal message As String)
          ' Add feedback
          Dim newFeedback As New Feedback()
          newFeedback.Message = Server.HtmlEncode(message)
          newFeedback.EntryDate = DateTime.Now
          db.Feedbacks.InsertOnSubmit(newFeedback)
          db.SubmitChanges()

          ' Redirect
          Return RedirectToAction("Index")
     End Function

End Class

참고사이트
http://www.asp.net/learn/mvc/tutorial-06-vb.aspx

FreeBSD local root zeroday

보안 소식/주간 이슈 2009. 12. 7. 10:20 Posted by 알 수 없는 사용자

지난 11월 30일에 FreeBSD 7.0(and later)을 대상으로 하는 Exploit(Local root bug)가 공개되어, 사용자들의 주의가 요구됩니다. 이는 "kingcope" 라는 닉을 사용하는 해외 해커가 발견하여 간단한 Exploit 을 공개했습니다.

현재 security.freebsd.org 에서 패치가 공개된 상태입니다.

해당 취약점은 Ling-Editor (rtld)의 실행(Run-time) 시 LD_PRELOAD 환경 변수에 의해서 발생되는 취약점입니다.
LD_PRELOAD 는 일반적으로 사용되지 않는 환경 변수인데, 이를 통해서 "ping", "su"와 같은 바이너리에 setugid를 설정할 수 있기 때문입니다. 이와 같이 setugid를 설정할 수 있는 취약점을 이용한 exploit 입니다.


다음은 해당 취약점을 간략히 정리한 내용입니다.

 ▒ 종류: core
 ▒ 대상: rtld
 ▒ 영향: FreeBSD 7.0 and later
 ▒ CVE Name: CVE-2009-4146, CVE-2009-4147
 ▒ 특징: setugid 를 이용한 root 권한 상승


다음은 해당 취약점의 대응방안을 정리한 내용입니다.

 ▒ Security.freebsd.org 에서 공개된 패치 적용
 ▒ Announced: 2009-12-03
 ▒ URL: http://security.freebsd.org/advisories/FreeBSD-SA-09:16.rtld.asc

 

티스토리툴바