주말 사이 Exploit-DB 문서들

보안 소식/주간 이슈 2011. 1. 10. 09:28 Posted by TEAMCR@K
페이스북에서 내년에 해킹 대회를 개최한다고 하네요.

"소셜 네트워크" 영화에서 해킹 대회를 해서 직원들을 뽑았던 그 장면이 떠오르네요.

영화와 같이 본선에서 시간지날때마다 술을 먹일라나-_-);

http://www.seoul.co.kr/news/newsView.php?id=20101213016018&spage=1


요근래 Exploit-DB 사이트를 보면 "FTP Server - Directory Traversal 취약점"이 많이 발표되고 있습니다.

몇명이서 집중적으로 올리고 있는 것을 봐서 상당히 많은 도전정신을 발휘하고 있습니다.

FTP 서버는 개인적인 선택에 따라 많이 사용되고 있는것도 있고 전혀 사용되고 있지 않는것이 있겠지만...공개되고 있는 모든 FTP 서버를 모두 점검해준다면 그보다 더 좋은게 없겠죠?^^);


IDA Pro 5.0 Freeware Version

보안 소식/주간 이슈 2010. 12. 7. 21:14 Posted by TEAMCR@K

Disassembler와 Debuger로 많이 사용되고 있는 IDA Pro 5.0 Freeware Version이 공개되었습니다.

학습하는데 도움 되시기 바랍니다.

http://www.hex-rays.com/idapro/idadownfreeware.htm


IDA Pro 5.0 Freeware Version

The freeware version has the following limitations

  • no commercial use allowed
  • lacks all features introduced in IDA Pro > 5.0 (5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 5.7, 6.0)
  • lacks support for many processors, file format, debugging etc..

IDA Pro Freeware (16mb)

D-Link 무선 AP 관리자 페이지에 "인증 및 세션 처리 미흡" 취약점이 발견 되었습니다.
현재까지는 펌웨어 업데이트는 이루어지고 있지 않으며, 소스코드 수정이 이루어져야 할듯 싶군요.

또한, 무선AP 인증이 이루어지지 않는다면 해당 공격은 이루어지지 않기 때문에 MAC인증 및 인증강화가 우선적으로 이루어져야 합니다.

참고 URL )
http://www.exploit-db.com/exploits/15666/
http://www.securityfocus.com/archive/1/514687/30/120/threaded


예제) http://192.168.0.1/bsc_lan.php?NO_NEED_AUTH=1&AUTH_GROUP=2

KISA에서 "안드로이드기반 모바일운영체제 보안기능 분석"이라는 참고문헌이 올라와 있네요.

관련 분야 공부하시는 분들한테는 좋은 자료가 될거 같네요.

다운로드 : KISA_WP_2010_0011.pdf

목 차

제 1 장 서론
제 2 장 주요 스마트폰 운영체제 보안 체계
제 3 장 구글 안드로이드 개요
제 4 장 안드로이드 보안 모델 및 보안 취약성 분석
제 5 장 결론

Digital Forensic War Game이라는 사이트가 있네요.

도전한 사람들의 날짜를 보니 이번년도 중순정도 오픈된 사이트 같네요.^_^)

한번 심심하실때 도전하심 좋을듯!!~고고.

사이트 주소 : http://real-forensic.com/

SHODAN for DNS Information Gathering

보안 소식/주간 이슈 2010. 11. 17. 20:30 Posted by TEAMCR@K
팀블로그에 저번에 작성하였던 http://teamcrak.tistory.com/311  동일한 맥락이며,

Ruby 기반으로 자동 스캔툴에 대한 소스 설명이 포함되어 있습니다.

문서 다운로드 : http://www.exploit-db.com/download_pdf/15556
아이폰(iOS 4.1 - 현 버전) 에서 비밀번호 잠금이 풀리는 버그가 발견되었습니다.

잠금 상태에서 임의의 긴급통화 후 바로 Lock 버튼을 누르면 전화번호부 검색이 가능하며, 분실시 개인정보 노출 위험이 존재합니다.

테스트 한 결과 잘 되는 것을 확인할 수 있었으며, iOS 버전 업그레이드가 이루어지지 않는 이상은 버그가 사라지지는 않을거 같습니다.

http://www.engadget.com/2010/10/25/ios-4-1-glitch-lets-you-bypass-lock-screen-to-access-phone-app/