홈페이지 : http://www.gocsi.com/

CSI(Computer Security Institute)에서 매년 컴퓨터 범죄와 보안에 대한 서베이를 발표하는데, 2009년판이네요~
16페이지정도인데 요약본이 아닌 버전(40페이지 정도..)은 구매하래요..


Preventing JavaScript Injection Attacks

보안 소식/주간 이슈 2009. 12. 7. 11:00 Posted by 알 수 없는 사용자
asp.net 환경에서 JavaScript Injection 취약점이 실행되는 것을 HTML Encode을 적용하여 예방할 수 있습니다.

다음은 website에 입력값이 들어올 때 HTML encode을 적용하여 JavaScript injection attack을 예방할수 있는 간단한 소스코드 입니다.

Index.aspx (HTML Encoded)
<%@ Page Language="VB" MasterPageFile="~/Views/Shared/Site.Master" AutoEventWireup="false" CodeBehind="Index.aspx.vb" Inherits="CustomerFeedback.Index"%>

<asp:Content ID="indexContent" ContentPlaceHolderID="MainContent" runat="server">
     <h1>Customer Feedback</h1>
     <p>
          Please use the following form to enter feedback about our product.
     </p>

     <form method="post" action="/Home/Create">
          <label for="message">Message:</label>
          <br />
          <textarea name="message" cols="50" rows="2"></textarea>
          <br /><br />
          <input type="submit" value="Submit Feedback" />
     </form>

     <% For Each feedback As CustomerFeedback.Feedback In ViewData.Model%>
          <p>
          <%=feedback.EntryDate.ToShortTimeString()%>
          --
          <%=Html.Encode(feedback.Message)%>
          </p>
     <% Next %>

</asp:Content>

<%=Html.Encode(feedback.Message)%> 부분이 HTML encoded를 적용하게 됩니다.
<script>alert("a3sc");</script> → &lt;script&gt;alert(&quot;Boo!&quot;)&lt;/script&gt;

HTML encode가 적용되어 취약점이 실행되지 않은 화면입니다.


HomeController.cs (HTML Encoded)
Public Class HomeController
     Inherits System.Web.Mvc.Controller

     Private db As New FeedbackDataContext()

     Function Index()
          Return View(db.Feedbacks)
     End Function

     Function Create(ByVal message As String)
          ' Add feedback
          Dim newFeedback As New Feedback()
          newFeedback.Message = Server.HtmlEncode(message)
          newFeedback.EntryDate = DateTime.Now
          db.Feedbacks.InsertOnSubmit(newFeedback)
          db.SubmitChanges()

          ' Redirect
          Return RedirectToAction("Index")
     End Function

End Class

참고사이트
http://www.asp.net/learn/mvc/tutorial-06-vb.aspx

FreeBSD local root zeroday

보안 소식/주간 이슈 2009. 12. 7. 10:20 Posted by 알 수 없는 사용자

지난 11월 30일에 FreeBSD 7.0(and later)을 대상으로 하는 Exploit(Local root bug)가 공개되어, 사용자들의 주의가 요구됩니다. 이는 "kingcope" 라는 닉을 사용하는 해외 해커가 발견하여 간단한 Exploit 을 공개했습니다.

현재 security.freebsd.org 에서 패치가 공개된 상태입니다.

해당 취약점은 Ling-Editor (rtld)의 실행(Run-time) 시 LD_PRELOAD 환경 변수에 의해서 발생되는 취약점입니다.
LD_PRELOAD 는 일반적으로 사용되지 않는 환경 변수인데, 이를 통해서 "ping", "su"와 같은 바이너리에 setugid를 설정할 수 있기 때문입니다. 이와 같이 setugid를 설정할 수 있는 취약점을 이용한 exploit 입니다.


다음은 해당 취약점을 간략히 정리한 내용입니다.

 ▒ 종류: core
 ▒ 대상: rtld
 ▒ 영향: FreeBSD 7.0 and later
 ▒ CVE Name: CVE-2009-4146, CVE-2009-4147
 ▒ 특징: setugid 를 이용한 root 권한 상승


다음은 해당 취약점의 대응방안을 정리한 내용입니다.

 ▒ Security.freebsd.org 에서 공개된 패치 적용
 ▒ Announced: 2009-12-03
 ▒ URL: http://security.freebsd.org/advisories/FreeBSD-SA-09:16.rtld.asc

Internet Explore Zero-Day 피해 주의

보안 소식/주간 이슈 2009. 12. 2. 20:53 Posted by 알 수 없는 사용자

얼마전 IE 6, 7을 대상으로 하는 Exploit이 공개되어, 사용자들의 주의가 요구됩니다.

해당 취약점은 document.getElementsByTagName() method에 의해서 발생되는 취약점입니다.
HTML viewer인 mshtml.dll 에 영향을 미쳐서 브라우저 핸들이 크래쉬(서비스 거부)가 되는 취약점 입니다.

다음은 해당 취약점을 간략히 정리한 내용입니다.

 ▒ 대상: Microsoft Internet Explore 6, 7 (IE 8 제외)
 ▒ 특징: style 관련 태그에서의 취약점 발견
 ▒ 영향: 브라우저 핸들이 크래쉬되어 브라우저 멈춤 등의 현상이 일어날 수 있고, 공격자의 악성코드가 실행될 수 있음.

다음은 해당 취약점의 대응방안을 정리한 내용입니다. (12월 2일 현재까지, MS 공식 패치가 발표되지 않음.)
 ▒ IE8 사용
 ▒ Anti-Virus 제품 설치
 ▒ 출처가 불분명하거나 신뢰할 수 없는 사이트에 대한 방문 자제
 ▒ 보안업데이트가 발표되기 전까지 JavaScript를 사용하지 않도록 설정
     ([Internet Explorer > 도구 > 보안 > 인터넷 > 사용자 지정 수준]에서 "Active 스크립팅"을 "사용 안 함"으로 설정)

다음은 참고자료 및 사이트를 정리한 내용입니다.
 (1) http://www.symantec.com/connect/blogs/zero-day-internet-explorer-exploit-published
 (2) http://www.microsoft.com/technet/security/advisory/977981.mspx
 (3) http://www.krcert.or.kr/secureNoticeView.do?num=371&seq=-1

ActiveX 대안으로 HTML5???

보안 소식/주간 이슈 2009. 11. 17. 19:28 Posted by 알 수 없는 사용자

http://www.zdnet.co.kr/Contents/2009/11/16/zdnet20091116182745.htm

HTML5가 마무리단계에 접어들면서 IE만이 누려왔던 특혜(?)를 타 브라우저로 이동시키려고 하고 있습니다..
어떤 브라우저를 사용하더라도 모두 똑같은 화면을 볼 수 있게 될 것입니다.
최근에 여러가지 스마트폰이 출시되고 있는데요.. 각각 다른 OS에 다른 브라우저를 이용하고 있기에 이런 면에서는 상당히 긍정적이라고 생각합니다. 특정 브라우저에 치우치는 인터넷 환경이 되지는 않을테니 말입니다.
특히 금융권 분야에서 어떤 효과가 있을지 기대가 됩니다.
물론, 적극적으로 사용한다는 가정이 필요합니다만...^^

어쨌든.. 유튜브에 올라왔던 HTML5 소개 동영상 링크를 달아볼까 합니다..
HTML5의 개발기간은 상당히 길었습니다. 동영상을 찾아보신다면 상당히 예전 자료도 많다는 것을 알 수 있습니다.

Introduction to HTML5 (HTML5 소개하기)
http://www.youtube.com/watch?v=siOHh0uzcuY

HTML5 데모
http://www.youtube.com/watch?v=C3vhV13O13o

HTML5에서는 플래쉬 설치없이 플래쉬 영상(youtube 동영상)을 볼 수 있다는 내용의 글..
http://neosmart.net/blog/2009/watch-youtube-videos-in-html5/

http://www.ivizsecurity.com/blog/penetration-testing/live-cd-penetration-testing-pen/

모의해킹(취약점 분석)에 도움이 되는 14가지 LiveCD 목록과 설명입니다.

개인적으로 "Damn Vulnerable Linux"을 추천하고 싶습니다.

Damn Vulnerable Linux 의 정보는 http://teamcrak.tistory.com/156 를 참고하시기 바랍니다.

Cain & Abel v4.9.34 릴리즈

보안 소식/주간 이슈 2009. 10. 19. 14:46 Posted by TEAMCR@K
Cain & Abel v4.9.34 릴리즈 되었습니다.

Cain&Abel 사이트 : http://www.oxid.it/cain.html

아래는 이번 버전에서 추가된 내용입니다. 업무하는데 활용하시기 바랍니다.

- Added support for Windows 2008 Terminal Server in APR-RDP sniffer filter.
- Added Abel64.exe and Abel64.dll to support hashes extraction on x64 operating systems.
- Added x64 operating systems support in NTLM hashes Dumper, MS-CACHE hashes Dumper, LSA Secrets Dumper, Wireless Password Decoder, Credential Manager Password Decoder, DialUp Password Decoder.
- Added Windows Live Mail (Windows 7) Password Decoder for POP3, IMAP, NNTP, SMTP and LDAP accounts.
- Fixed a bug of RSA SecurID Calculator within XML import function.
- Fixed a bug in all APR-SSL based sniffer filters to avoid 100% CPU utilization while forwarding data.
- Executables rebuilt with Visual Studio 2008.

http://projects.webappsec.org/Web%20Application%20Security%20Statistics

PDF 다운로드 : http://projects.webappsec.org/f/wasc_wass_2008.pdf

2008년에 발생한 Web Application 공격에 대한 통계 자료입니다.

XSS(Cross Site Scripting) 공격을 포함해서 입력값 검증 관련 공격들이 대부분을 차치하고 있군요. 자동 스캔 도구로 공격을 시도하는 경우가 대부분이기 때문에 이런 분석이 나오는것일수도 있겠습니다.

통계자료로써 참고할만 합니다.


최신 주간 동향 (2009년 10월 2주차)

보안 소식/주간 이슈 2009. 10. 12. 21:17 Posted by 알 수 없는 사용자

1. Flex 기반의 정규식 (Regular Expression) 공유 사이트 소개
    개발자분들이라면 한번쯤 유용한 사이트가 아닌가 생각됩니다. gskinner.com의 운영자가 만든 정규식 커뮤니티 사이트입니다. 정규(표현)식은 대부분 언어별로 약간의 차이가 있긴하지만 대부분 필수 구문은 거의 동일하기 때문에 정규식을 공유하고 이를 실제 프로젝트에 십분 활용해본다는 측면에서 상당히 긍정적이라고 할 수 있습니다. 본인이 만든 정규식을 추가할수 있고 간단한 설명문구와 함께 바로 실행해 볼 수도 있습니다.

    가. 관련링크 및 상세내용
(1) http://gskinner.com/RegExr/

            
            아래는 데스크탑에서 사용할 수 있는 AIR 버전입니다.
           


2. Global Data Encryption Best practice
     Visa에서는 end-to-end 암호화라고 불리우는 데이터 필드 암호화에 대한 전체 기업들의 Best Practice를 발표하였습니다.
    가. 관련링크
(1) http://corporate.visa.com/media-center/press-releases/press941.jsp
    나. Visa에서 발표한 Best Practice 내용      

  • Limit cleartext availability of cardholder data and sensitive authentication data to the point of encryption and the point of decryption. (카드홀더 데이터의 가용성
  • Use robust key management solutions consistent with international and/or regional standards.
  • Use key-lengths and cryptographic algorithms consistent with international and/or regional standards.
  • Protect devices used to perform cryptographic operations against physical/logical compromises.
  • Use an alternate account or transaction identifier for business processes that requires the primary account number to be utilized after authorization, such as processing of recurring payments, customer loyalty programs or fraud management.

 3. Phishing scam exposes hotmail passwords
    마이크로소프트에서는 Hotmail 패스워드를 모두 변경할 것을 권고하였습니다. (원문 글에는 조건이 들어가 있지만, 기본적으로 변경해줄 필요가 있을 것 같습니다.)

    가. 관련링크 및 상세내용
(1) http://www.net-force.nl/files/articles/hotmail_xss/

4. 9월 해외 보안 이슈(KISA자료, 컨설팅 뉴스레터)
    KISA에서 컨설팅 뉴스레터로 보낸 자료입니다.  

    가. 주요 내용
(1) 해외 보안 이슈
            (2) [보고서] SANS 사이버 보안 위협 보고서
            (3) [보고서] Finjan 사이버 범죄 인텔리전스
    나. 해외보안 이슈 주제
            (1) 검색엔진 필터 회피, 클릭 사기를 유발하는 신종 바하마 봇넷 출현
            (2) RSA, 신종 "chat-in-the-middle" 공격 경고
            (3) 온라인 뱅킹 사용 내역을 위조하는 신종 맬웨어
            (4) 싱가포르 정부, 사이버 테러리즘 전담 기관 신설
            (5) 영국 정보부, 10대 소년들을 고용해 사이버 테러리즘 전쟁에...
            (6) 영국, 이미 사이버전 강대국으로 부상
            (7) 웹센스 보고서, 악성 웹사이트 671% 증가해
            (8) 고객정보를 실수로 지메일로 보낸 은행, 구글을 고소
            (9) 악성 배너 광고를 이용한 공격 증가
            (10)마이크로소프트, 최신 웜으로 골머리 앓아
            (11)개미와 웜
            (12) SANS 어플리케이션과 웹사이트 취약점, 가장 큰 보안 위협
            (13) 맬웨어 제작자들, 데이터를 훔치기 위한 새로운 방법 모색
            (14) 커맨드를 JPG로 위장하는 봇넷


최신 주간 동향 (2009년 10월 1주차)

보안 소식/주간 이슈 2009. 10. 5. 18:44 Posted by 알 수 없는 사용자

1. TCP/IP Protocol Stack Multiple Remote Denial Of Service Vulnerabilities
    TCP/IP 연결 시 Window Size의 조작으로 DoS 공격이 가능한 취약점이 업데이트 되었습니다. 2008년에도 이슈로 최근까지 지속적인 업데이트되었으며, TCP/IP 표준 문제이므로 패치도 첨예한 부분입니다. 또한 대부분의 Network 장비에 문제가 되기 때문에 영향도가 매우 높습니다. 자세한 내용은 관련링크를 통해 확인하시길 바랍니다.

    가. 관련링크
(1) http://www.securityfocus.com/bid/31545/discuss


2. Conficker eye chart check
    작년부터 기승을 부리고 있는 컨피커 웜은 최근까지 많은 변종들로 인해 네트워크 트래픽을 상승하는 등의 문제를 일으키고 있습니다. 이를 간단한 Check를 통해 확인할 수 있는 사이트를 알려드립니다. 관련링크를 통해 확인하실 수 있습니다.

    가. 관련링크
(1) http://www.confickerworkinggroup.org/infection_test/cfeyechart.html


3. Increase in ssh root access attempts 
    SSH를 통한 Root 공격이 증가되었다는 내용을 Sans를 통해 확인 할 수 있습니다. 

    가. 관련링크
(1) http://isc.sans.org/diary.html?storyid=7213&rss
            (2) http://isc.sans.org/port.html?port=22