자료 출처 : http://www.krcert.net/secureNoticeView.do?seq=-1&num=300

해당 내용은 패치가 되지 않은 취약점입니다 ~~ 라고 이전에 적어놨는데 지금은 뭐 패치가 끝나고도 남을 시점이겠네..ㅠㅠ

이전 Mass SQL Injection과 관련되어 특정 명령어 및 SP에 대해 페이지의 사용자 select update에 대한 권한을 확인한적이 있다.

이 결과에 따라 일반 유저의 저장프로시저 및 확장 저장 프로시저에 대한 실행에 대한 권한을 확인하여 처리한 적이 있었다.

위의 케이스는 이것과 비슷하다고 생각한다 비슷한 결과로 'sp_replwritetovarbin' 확장 저장 프로시저의 취약점이 발생됨에 따라

이 프로시저의 퍼블릭 실행 권한을 제거하길 권고하고 있다

해당 프로시저의 사용유무를 확인해 주시고, 사용하지 않는다면 MS의 공식 패치가 발표되기 전까지 

해당 프로시저의 퍼블릭 실행 권한을 제거하는 것이 좋을 것 같다. 기회가 된다면 웹개발. DBA, 서버보안담당자가 다같이 이번 기회를

맞아 이쁜 정리를 하는 것도 좋을 것 같다.

난 서버 관리자로서 경고는 했지만, 개발자및 DBA가 언제 확인 및 조치를 할지 모르기 때문에 일단  운영중인 웹서버에 webknight를 설치하고

'sp_replwritetovarbin' 과 'replwritetovarbin' 부분만 아스키코드로 변경해서 '7265706C7772697465746F76617262696E' 를 추가 필터링 하였다.

일반적인 조치지만 뭐 안하는 것 보다는 좋지 않을까 ~~

'IT > Information' 카테고리의 다른 글

파일구리 툴바 ?  (0) 2009.02.23
쿠키와 세션  (0) 2009.02.19
MS SQL 서버 신규 원격코드 실행 취약점 주의  (0) 2009.02.10
사이코패스 테스트  (0) 2009.02.05
구글 검색 Tip  (0) 2008.12.09
Saved Password Locations  (0) 2008.12.04

좀 된거지만 이제 정리를...ㅋㅋ


12 31일날 컨퍼런스에서 발표된 내용입니다.

MD5로 전자서명한 CA의 인증서를 완전히 복제할 수 있은 취약점

마이크로 소프트가 베리사인한테 앞으로 MD5 로 서명한 것은 사용하지 않을 거라고 방침을 정했다고 요청했고, MS가 그러니 당연히 
베리사인은 바로 MD5 서명 금지령을 내렸다고 합니다.
이런 취약점이 인증사에 미리 알려주지 않고 바로 발표한것을 몇몇 인증사에서 유감이라고 얘기했다고 하네요 

그나마 PS3로 오락은 안하고 ( PS3 200대로 했다고 하던데 연구 끝났으면 중저가에  팔려나 ㅋㅋ ) 인증서 복제를 한 연구진 (미국/스위스.네덜란드 암호학자들)기술의 핵심 기술은 아직 발표하지 않은 상태입니다.

그나마 공개된 상세한 내용은 아래 사이트에서 확인 가능합니다.

http://www.win.tue.nl/hashclash/rogue-ca/

 

내부에서 PKI 기반 솔루션(HTTPS, SSL VPN등도 포함)을 사용하고 있다면 인증서를 서명해준 CA의 전자서명을 확인하여 MD5로 서명된 거라면 어렵겠지만 - CA에 재발급신청을 받거나 신규발급받아야 합니다. 국내 CA MD5서명 안한지 꽤 됐다고 합니다. 해외 CA 다수는 이제 MD5 퇴물조치하고 안쓰기로 할 예정이라고 합니다. ( 국내는 전화를 해보니깐 MD5을 안쓰는 것이 맞는거 같더군요 )

 

블로그 포스팅 내용 ( 이전에 정리한거라 어디서 퍼왔는지 ㅠㅠ )

 

CCC 컨퍼런스에서 발표된 가짜 인증서로 떠들석한데요.

1.    파급 효과는?
상황이 안 좋습니다. 유효한 가짜 SSL 인증서를 만들어 "완벽한" 피싱 사이트를 만들 수있게 되었습니다.

HTTPS 프로토콜이 이번 이슈에 가장 큰 영향을 받을 것입니다. SSL을 사용하는 다른 프로토콜들도 문제가발생할 수 있습니다.

2.    어떻게 대응해야 합니까?
할 수 있는게 별로 없습니다. 이 문제는 브라우저의 버그도 아니고, 프로토콜 문제도아닙니다.

일부 인증 기관에서 인증서 발급에 사용하는 방식 때문에 문제가 발생했기 때문입니다.

 SSL VPN 같은 곳에 SSL을이용하고 있으시다면, 신뢰하는 인증 기관(CA)의 수를 제한하시기 바랍니다.

3.    SSL 인증서도 문제가 있습니까?
그럴 가능성이 있습니다. 자세한 내용은 벤더에서 발표한 보안 공지를 살펴보시기바랍니다.

어디에서 인증서를 발급받았느냐에 따라 다릅니다. 그렇지만 여러분의 인증서가 SHA1을 사용하게 되어있더라도

누군가는MD5를 이용하는 가짜 SSL 인증서를 만들어서 여러분의 사이트인 것처럼 위장할 수 있습니다.

4.    왜 더 안전한 RIPEMD SHA2가 아닌 SHA1로 바꾸는 것인가요?
.. SHA1은 대부분의 SSL 라이브러리에서 지원됩니다. SHA2는 나온지 얼마 안 되어서 지원이 잘 안 되고 있거든요.

5.    HTTPS 말고 또 어떤 프로토콜이 문제가 될 수 있습니까?
SSL
을 사용하는 모든 프로토콜입니다. 특히 SSL VPN이나 S-MIME을 꼽을 수 있습니다. SSH는 영향받지 않습니다.

 

문제의 원인은 일부 인증 기관에서 발급한 인증서의 유효성을 검증할 때 사용하는 MD5 해시 때문입니다.

MD5해시가 취약하다는 점은 이미 잘 알려진 사실이고, 이번 이슈는 이미 알려진 MD5 취약점을 이용하여 실제 공격을 할 수 있다는점을 증명했다는 점에서 의미가 있습니다.

인증서 발급 기관들은 인증서 발급 시 MD5 대신 SHA1 해시를 사용하도록 바꿔야합니다. 여러분의 브라우저는 신뢰할 수 있는 인증 기관들의 목록을 가지고 있습니다.

안타깝게도 매우 유명한 인증 기관 몇 군데가MD5를 이용한 인증서를 발급하고 있습니다.

 이제 MD5 취약점 공격이 이론적으로 가능한 것 뿐 아니라 실제 공격이 나타날가능성도 커졌습니다.

연구자들은 200대의 플레이스테이션 3 시스템을 클러스터링해서 며칠만에 가짜 인증서를 만들어냈습니다.

어느정도 규모가 되는 봇넷이라면 더 빨리 만들어 낼 수 있을 것입니다.

 

이렇게 인증기관(CA)을 사칭할 수 있는 인증서를 하나 만들어내고 나면, 이 인증서를 이용하여 다른 인증서에 서명할 수있게 됩니다.

브라우저는 기본 설정으로 신뢰할 수 있는 인증기관 목록을 가지고 있으므로, 아무런 경고 없이 MITM 공격 등이가능해집니다.

 

아래 벤더에서 발표한 공지를 참고하시기 바랍니다.

·        마이크로소프트

o   Microsoft Security Advisory (961509): Research proves feasibility of collision attacks against MD5

o   Information on Microsoft Security Advisory 961509

'IT > 공격과 방어' 카테고리의 다른 글

USB를 통하여 전파되는 악성코드 피해 주의  (0) 2009.02.10
WebKnight - 01.설치하기  (0) 2009.02.10
가짜 전자서명 인증서 주의  (0) 2009.02.10
홈페이지 보안 강화 도구(CASTLE)  (0) 2009.01.20
Tools~~~  (1) 2008.12.23
새로운 Mass SQL Injection  (0) 2008.12.22

[자료출처] :네이버 웹툰 입시명문사립정글고등학교 
글 / 그림 : [ 김규삼/김규삼]

       
   
 
 


'IT > Information' 카테고리의 다른 글

쿠키와 세션  (0) 2009.02.19
MS SQL 서버 신규 원격코드 실행 취약점 주의  (0) 2009.02.10
사이코패스 테스트  (0) 2009.02.05
구글 검색 Tip  (0) 2008.12.09
Saved Password Locations  (0) 2008.12.04
/MarkAny/Websafer/MaSiteInfo.ini  (0) 2008.11.19

[자료출처] http://www.krcert.or.kr/index.jsp

제목
홈페이지 보안 강화 도구(CASTLE) 보급 안내
등록일
2009/01/20
내용
         <홈페이지 보안 강화 도구(CASTLE) 보급 안내>

최근 공격자들이 국내 홈페이지를 해킹하여 악성코드 유포 및 
개인정보 탈취하는 사례가 지속적으로 발생하고 있습니다.

이에, 한국정보보호진흥원에서는 홈페이지의 보안성을 강화하는 
"홈페이지 보안 강화도구(CASTLE)"를 배포하고 있습니다.

사용을 희망하는 회사(기관)나 개인 사용자 분들은 아래의 프로그램과 
설명서를 다운받아 사용하시기 바랍니다.

○ CASTLE 다운로드(ASP, PHP, JSP)
○ CASTLE 사용자 설명서 다운로드
○ CASTLE 설치 가이드 다운로드
○ CASTLE FAQ 다운로드
○ 문의 및 기술 지원(Tel : 02-405-5617, EMAIL : castle@krcert.or.kr)

※ CASTLE를 홈페이지에 적용하면, 주요 취약점을 공격하는 침입시도 및 공격코드들을 
차단할 수 있습니다. 또한 개발 중이거나, 운영 중인 홈페이지에 약간의 수정을 통해 쉽게 
적용 가능하고, 적용 후 CASTLE의 관리 기능으로 손쉽게 관련 정책이나, 설정을 수정할 
수 있습니다.
이걸 밀어주시는 건가 ? 웹나이트는 ....
한번 또 설치해봐야 겠네...

'IT > 공격과 방어' 카테고리의 다른 글

WebKnight - 01.설치하기  (0) 2009.02.10
가짜 전자서명 인증서 주의  (0) 2009.02.10
홈페이지 보안 강화 도구(CASTLE)  (0) 2009.01.20
Tools~~~  (1) 2008.12.23
새로운 Mass SQL Injection  (0) 2008.12.22
시스템 검사 도구 - TrendMicro HijackThis  (0) 2008.12.22

Phoenix/Tools

From OWASP

Jump to: navigation, search

Please send comments or questions to the Phoenix-OWASP mailing-list.

LiveCDs

Monday, January 29, 2007 4:02 PM 828569600 AOC_Labrat-ALPHA-0010.iso - http://www.packetfocus.com/hackos/
DVL (Damn Vulnerable Linux) - http://www.damnvulnerablelinux.org/

Test sites / testing grounds

SPI Dynamics (live) - http://zero.webappsecurity.com/
Cenzic (live) - http://crackme.cenzic.com/
Watchfire (live) - http://demo.testfire.net/
Acunetix (live) - http://testphp.acunetix.com/ http://testasp.acunetix.com http://testaspnet.acunetix.com
WebMaven / Buggy Bank (includes live testsite) - http://www.mavensecurity.com/webmaven
Foundstone SASS tools - http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/s3i_tools.htm
OWASP WebGoat - http://www.owasp.org/index.php/OWASP_WebGoat_Project
OWASP SiteGenerator - http://www.owasp.org/index.php/Owasp_SiteGenerator
Stanford SecuriBench - http://suif.stanford.edu/~livshits/securibench/
SecuriBench Micro - http://suif.stanford.edu/~livshits/work/securibench-micro/

HTTP proxying / editing

WebScarab - http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
Burp - http://www.portswigger.net/
Paros - http://www.parosproxy.org/
Fiddler - http://www.fiddlertool.com/
Web Proxy Editor - http://www.microsoft.com/mspress/companion/0-7356-2187-X/
Pantera - http://www.owasp.org/index.php/Category:OWASP_Pantera_Web_Assessment_Studio_Project
Suru - http://www.sensepost.com/research/suru/
httpedit (curses-based) - http://www.neutralbit.com/en/rd/httpedit/
Charles - http://www.xk72.com/charles/
Odysseus - http://www.bindshell.net/tools/odysseus
Burp, Paros, and WebScarab for Mac OS X - http://www.corsaire.com/downloads/
Web-application scanning tool from `Network Security Tools'/O'Reilly - http://examples.oreilly.com/networkst/
JS Commander - http://jscmd.rubyforge.org/
Ratproxy - http://code.google.com/p/ratproxy/

RSnake's XSS cheat sheet based-tools, webapp fuzzing, and encoding tools

Wfuzz - http://www.edge-security.com/wfuzz.php
ProxMon - http://www.isecpartners.com/proxmon.html
Wapiti - http://wapiti.sourceforge.net/
Grabber - http://rgaucher.info/beta/grabber/
XSSScan - http://darkcode.ath.cx/scanners/XSSscan.py
CAL9000 - http://www.owasp.org/index.php/Category:OWASP_CAL9000_Project
HTMangLe - http://www.fishnetsecurity.com/Tools/HTMangLe/publish.htm
JBroFuzz - http://sourceforge.net/projects/jbrofuzz
XSSFuzz - http://ha.ckers.org/blog/20060921/xssfuzz-released/
WhiteAcid's XSS Assistant - http://www.whiteacid.org/greasemonkey/
Overlong UTF - http://www.microsoft.com/mspress/companion/0-7356-2187-X/
[TGZ] MielieTool (SensePost Research) - http://packetstormsecurity.org/UNIX/utilities/mielietools-v1.0.tgz
RegFuzzer: test your regular expression filter - http://rgaucher.info/b/index.php/post/2007/05/26/RegFuzzer%3A-Test-your-regular-expression-filter
screamingCobra - http://www.dachb0den.com/projects/screamingcobra.html
SPIKE and SPIKE Proxy - http://immunitysec.com/resources-freesoftware.shtml
RFuzz - http://rfuzz.rubyforge.org/
WebFuzz - http://www.codebreakers-journal.com/index.php?option=com_content&task=view&id=112&Itemid=99999999
TestMaker - http://www.pushtotest.com/Docs/downloads/features.html
ASP Auditor - http://michaeldaw.org/projects/asp-auditor-v2/
WSTool - http://wstool.sourceforge.net/
Web Hack Control Center (WHCC) - http://ussysadmin.com/whcc/
Web Text Converter - http://www.microsoft.com/mspress/companion/0-7356-2187-X/
HackBar (Firefox Add-on) - https://addons.mozilla.org/firefox/3899/
Net-Force Tools (NF-Tools, Firefox Add-on) - http://www.net-force.nl/library/downloads/
PostIntercepter (Greasemonkey script) - http://userscripts.org/scripts/show/743

HTTP general testing / fingerprinting

Wbox: HTTP testing tool - http://hping.org/wbox/
ht://Check - http://htcheck.sourceforge.net/
Mumsie - http://www.lurhq.com/tools/mumsie.html
WebInject - http://www.webinject.org/
Torture.pl Home Page - http://stein.cshl.org/~lstein/torture/
JoeDog's Seige - http://www.joedog.org/JoeDog/Siege/
OPEN-LABS: metoscan (http method testing) - http://www.open-labs.org/
Load-balancing detector - http://ge.mine.nu/lbd.html
HMAP - http://ujeni.murkyroc.com/hmap/
Net-Square: httprint - http://net-square.com/httprint/
Wpoison: http stress testing - http://wpoison.sourceforge.net/
Net-square: MSNPawn - http://net-square.com/msnpawn/index.shtml
hcraft: HTTP Vuln Request Crafter - http://druid.caughq.org/projects/hcraft/
rfp.labs: LibWhisker - http://www.wiretrip.net/rfp/lw.asp
Nikto - http://www.cirt.net/code/nikto.shtml
twill - http://twill.idyll.org/
DirBuster - http://www.owasp.org/index.php/Category:OWASP_DirBuster_Project
[ZIP] DFF Scanner - http://security-net.biz/files/dff/DFF.zip
[ZIP] The Elza project - http://packetstormsecurity.org/web/elza-1.4.7-beta.zip http://www.stoev.org/elza.html
HackerFox and Hacking Addons Bundled: Portable Firefox with web hacking addons bundled - http://sf.net/projects/hackfox

Browser-based HTTP tampering / editing / replaying

TamperIE - http://www.bayden.com/Other/
isr-form - http://www.infobyte.com.ar/developments.html
Modify Headers (Firefox Add-on) - http://modifyheaders.mozdev.org/
Tamper Data (Firefox Add-on) - http://tamperdata.mozdev.org/
UrlParams (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/1290/
TestGen4Web (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/1385/
DOM Inspector / Inspect This (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/1806/ https://addons.mozilla.org/en-US/firefox/addon/1913/
LiveHTTPHeaders / Header Monitor (Firefox Add-on) - http://livehttpheaders.mozdev.org/ https://addons.mozilla.org/en-US/firefox/addon/575/

Cookie editing / poisoning

[TGZ] stompy: session id tool - http://lcamtuf.coredump.cx/stompy.tgz
Add'N Edit Cookies (AnEC, Firefox Add-on) - http://addneditcookies.mozdev.org/
CookieCuller (Firefox Add-on) - http://cookieculler.mozdev.org/
CookiePie (Firefox Add-on) - http://www.nektra.com/oss/firefox/extensions/cookiepie/
CookieSpy - http://www.codeproject.com/shell/cookiespy.asp
Cookies Explorer - http://www.dutchduck.com/Features/Cookies.aspx

Ajax and XHR scanning

Sahi - http://sahi.co.in/
scRUBYt - http://scrubyt.org/
jQuery - http://jquery.com/
jquery-include - http://www.gnucitizen.org/projects/jquery-include
Sprajax - http://www.denimgroup.com/sprajax.html
Watir - http://wtr.rubyforge.org/
Watij - http://watij.com/
Watin - http://watin.sourceforge.net/
RBNarcissus - http://idontsmoke.co.uk/2005/rbnarcissus/
SpiderTest (Spider Fuzz plugin) - http://blog.caboo.se/articles/2007/2/21/the-fabulous-spider-fuzz-plugin
Javascript Inline Debugger (jasildbg) - http://jasildbg.googlepages.com/
Firebug Lite - http://www.getfirebug.com/lite.html
firewaitr - http://code.google.com/p/firewatir/

RSS extensions and caching

LiveLines (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/324/
rss-cache - http://www.dubfire.net/chris/projects/rss-cache/

SQL injection scanning

0x90.org: home of Absinthe, Mezcal, etc - http://0x90.org/releases.php
SQLiX - http://www.owasp.org/index.php/Category:OWASP_SQLiX_Project
sqlninja: a SQL Server injection and takover tool - http://sqlninja.sourceforge.net/
JustinClarke's SQL Brute - http://www.justinclarke.com/archives/2006/03/sqlbrute.html
BobCat - http://www.northern-monkee.co.uk/projects/bobcat/bobcat.html
sqlmap - http://sqlmap.sourceforge.net/
Scully: SQL Server DB Front-End and Brute-Forcer - http://www.sensepost.com/research/scully/
FG-Injector - http://www.flowgate.net/?lang=en&seccion=herramientas
PRIAMOS - http://www.priamos-project.com/

Web application security malware, backdoors, and evil code

W3AF: Web Application Attack and Audit Framework - http://w3af.sourceforge.net/
Jikto - http://busin3ss.name/jikto-in-the-wild/
XSS Shell - http://ferruh.mavituna.com/article/?1338
XSS-Proxy - http://xss-proxy.sourceforge.net
AttackAPI - http://www.gnucitizen.org/projects/attackapi/
FFsniFF - http://azurit.elbiahosting.sk/ffsniff/
HoneyBlog's web-based junkyard - http://honeyblog.org/junkyard/web-based/
BeEF - http://www.bindshell.net/tools/beef/
Firefox Extension Scanner (FEX) - http://www.gnucitizen.org/projects/fex/
What is my IP address? - http://reglos.de/myaddress/
xRumer: blogspam automation tool - http://www.botmaster.net/movies/XFull.htm
SpyJax - http://www.merchantos.com/makebeta/tools/spyjax/
Greasecarnaval - http://www.gnucitizen.org/projects/greasecarnaval
Technika - http://www.gnucitizen.org/projects/technika/
Load-AttackAPI bookmarklet - http://www.gnucitizen.org/projects/load-attackapi-bookmarklet
MD's Projects: JS port scanner, pinger, backdoors, etc - http://michaeldaw.org/my-projects/

Web application services that aid in web application security assessment

Netcraft - http://www.netcraft.net
AboutURL - http://www.abouturl.com/
The Scrutinizer - http://www.scrutinizethis.com/
net.toolkit - http://clez.net/
ServerSniff - http://www.serversniff.net/
Online Microsoft script decoder - http://www.greymagic.com/security/tools/decoder/
Webmaster-Toolkit - http://www.webmaster-toolkit.com/
myIPNeighbbors, et al - http://digg.com/security/MyIPNeighbors_Find_Out_Who_Else_is_Hosted_on_Your_Site_s_IP_Address
PHP charset encoding - http://h4k.in/encoding
data: URL testcases - http://h4k.in/dataurl

Browser-based security fuzzing / checking

Zalewski's MangleMe - http://lcamtuf.coredump.cx/mangleme/mangle.cgi
hdm's tools: Hamachi, CSSDIE, DOM-Hanoi, AxMan - http://metasploit.com/users/hdm/tools/
Peach Fuzzer Framework - http://peachfuzz.sourceforge.net/
TagBruteForcer - http://research.eeye.com/html/tools/RT20060801-3.html
PROTOS Test-Suite: c05-http-reply - http://www.ee.oulu.fi/research/ouspg/protos/testing/c05/http-reply/index.html
COMRaider - http://labs.idefense.com
bcheck - http://bcheck.scanit.be/bcheck/
Stop-Phishing: Projects page - http://www.indiana.edu/~phishing/?projects
LinkScanner - http://linkscanner.explabs.com/linkscanner/default.asp
BrowserCheck - http://www.heise-security.co.uk/services/browsercheck/
Cross-browser Exploit Tests - http://www.jungsonnstudios.com/cool.php
Stealing information using DNS pinning demo - http://www.jumperz.net/index.php?i=2&a=1&b=7
Javascript Website Login Checker - http://ha.ckers.org/weird/javascript-website-login-checker.html
Mozilla Activex - http://www.iol.ie/~locka/mozilla/mozilla.htm
Jungsonn's Black Dragon Project - http://blackdragon.jungsonnstudios.com/
Mr. T (Master Recon Tool, includes Read Firefox Settings PoC) - http://ha.ckers.org/mr-t/
Vulnerable Adobe Plugin Detection For UXSS PoC - http://www.0x000000.com/?i=324
About Flash: is your flash up-to-date? - http://www.macromedia.com/software/flash/about/
Test your installation of Java software - http://java.com/en/download/installed.jsp?detect=jre&try=1
WebPageFingerprint - Light-weight Greasemonkey Fuzzer - http://userscripts.org/scripts/show/30285

PHP static analysis and file inclusion scanning

PHP-SAT.org: Static analysis for PHP - http://www.program-transformation.org/PHP/
Unl0ck Research Team: tool for searching in google for include bugs - http://unl0ck.net/tools.php
FIS: File Inclusion Scanner - http://www.segfault.gr/index.php?cat_id=3&cont_id=25
PHPSecAudit - http://developer.spikesource.com/projects/phpsecaudit

PHP Defensive Tools

PHPInfoSec - Check phpinfo configuration for security - http://phpsec.org/projects/phpsecinfo/

A Greasemonkey Replacement can be found at http://yehg.net/lab/#tools.greasemonkey


Php-Brute-Force-Attack Detector - Detect your web servers being scanned by brute force tools such as WFuzz, OWASP DirBuster and vulnerability scanners such as Nessus, Nikto, Acunetix ..etc. http://yehg.net/lab/pr0js/files.php/php_brute_force_detect.zip


PHP-Login-Info-Checker - Strictly enforce admins/users to select stronger passwords. It tests cracking passwords against 4 rules. It has also built-in smoke test page via url loginfo_checker.php?testlic

http://yehg.net/lab/pr0js/files.php/loginfo_checkerv0.1.zip

http://yehg.net/lab/pr0js/files.php/phploginfo_checker_demo.zip


php-DDOS-Shield - A tricky script to prevent idiot distributed bots which discontinue their flooding attacks by identifying HTTP 503 header code. http://code.google.com/p/ddos-shield/


PHPMySpamFIGHTER - http://yehg.net/lab/pr0js/files.php/phpmyspamfighter.zip http://yehg.net/lab/pr0js/files.php/phpMySpamFighter_demo.rar

Web Application Firewall (WAF) and Intrusion Detection (APIDS) rules and resources

APIDS on Wikipedia - http://en.wikipedia.org/wiki/APIDS
PHP Intrusion Detection System (PHP-IDS) - http://php-ids.org/ http://code.google.com/p/phpids/
dotnetids - http://code.google.com/p/dotnetids/
Secure Science InterScout - http://www.securescience.com/home/newsandevents/news/interscout1.0.html
Remo: whitelist rule editor for mod_security - http://remo.netnea.com/
GotRoot: ModSecuirty rules - http://www.gotroot.com/tiki-index.php?page=mod_security+rules
The Web Security Gateway (WSGW) - http://wsgw.sourceforge.net/
mod_security rules generator - http://noeljackson.com/tools/modsecurity/
Mod_Anti_Tamper - http://www.wisec.it/projects.php?id=3
[TGZ] Automatic Rules Generation for Mod_Security - http://www.wisec.it/rdr.php?fn=/Projects/Rule-o-matic.tgz
AQTRONIX WebKnight - http://www.aqtronix.com/?PageID=99
Akismet: blog spam defense - http://akismet.com/
Samoa: Formal tools for securing web services - http://research.microsoft.com/projects/samoa/

Web services enumeration / scanning / fuzzing

WebServiceStudio2.0 - http://www.codeplex.com/WebserviceStudio
Net-square: wsChess - http://net-square.com/wschess/index.shtml
WSFuzzer - http://www.owasp.org/index.php/Category:OWASP_WSFuzzer_Project
SIFT: web method search tool - http://www.sift.com.au/73/171/sift-web-method-search-tool.htm
iSecPartners: WSMap, WSBang, etc - http://www.isecpartners.com/tools.html

Web application non-specific static source-code analysis

Pixy: a static analysis tool for detecting XSS vulnerabilities - http://www.seclab.tuwien.ac.at/projects/pixy/
Brixoft.Net: Source Edit - http://www.brixoft.net/prodinfo.asp?id=1
Security compass web application auditing tools (SWAAT) - http://www.owasp.org/index.php/Category:OWASP_SWAAT_Project
An even more complete list here - http://www.cs.cmu.edu/~aldrich/courses/654/tools/
A nice list that claims some demos available - http://www.cs.cmu.edu/~aldrich/courses/413/tools.html
A smaller, but also good list - http://spinroot.com/static/

Static analysis for C/C++ (CGI, ISAPI, etc) in web applications

RATS - http://www.securesoftware.com/resources/download_rats.html
ITS4 - http://www.cigital.com/its4/
FlawFinder - http://www.dwheeler.com/flawfinder/
Splint - http://www.splint.org/
Uno - http://spinroot.com/uno/
BOON (Buffer Overrun detectiON) - http://www.cs.berkeley.edu/~daw/boon/ http://boon.sourceforge.net
Valgrind - http://www.valgrind.org/

Java static analysis, security frameworks, and web application security tools

LAPSE - http://suif.stanford.edu/~livshits/work/lapse/
HDIV Struts - http://hdiv.org/
Orizon - http://sourceforge.net/projects/orizon/
FindBugs: Find bugs in Java programs - http://findbugs.sourceforge.net/
PMD - http://pmd.sourceforge.net/
CUTE: A Concolic Unit Testing Engine for C and Java - http://osl.cs.uiuc.edu/~ksen/cute/
EMMA - http://emma.sourceforge.net/
JLint - http://jlint.sourceforge.net/
Java PathFinder - http://javapathfinder.sourceforge.net/
Fujaba: Move between UML and Java source code - http://wwwcs.uni-paderborn.de/cs/fujaba/
Checkstyle - http://checkstyle.sourceforge.net/
Cookie Revolver Security Framework - http://sourceforge.net/projects/cookie-revolver
tinapoc - http://sourceforge.net/projects/tinapoc
jarsigner - http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/jarsigner.html
Solex - http://solex.sourceforge.net/
Java Explorer - http://metal.hurlant.com/jexplore/
HTTPClient - http://www.innovation.ch/java/HTTPClient/
another HttpClient - http://jakarta.apache.org/commons/httpclient/
a list of code coverage and analysis tools for Java - http://mythinkpond.blogspot.com/2007/06/java-foss-freeopen-source-software.html

Microsoft .NET static analysis and security framework tools, mostly for ASP.NET and ASP.NET AJAX, but also C# and VB.NET

Threat modeling

Microsoft Threat Analysis and Modeling Tool v2.1 (TAM) - http://www.microsoft.com/downloads/details.aspx?FamilyID=59888078-9daf-4e96-b7d1-944703479451&displaylang=en
Amenaza: Attack Tree Modeling (SecurITree) - http://www.amenaza.com/software.php
Octotrike - http://www.octotrike.org/

Add-ons for Firefox that help with general web application security

Web Developer Toolbar - https://addons.mozilla.org/firefox/60/
Plain Old Webserver (POW) - https://addons.mozilla.org/firefox/3002/
XML Developer Toolbar - https://addons.mozilla.org/firefox/2897/
Public Fox - https://addons.mozilla.org/firefox/3911/
XForms Buddy - http://beaufour.dk/index.php?sec=misc&pagename=xforms
MR Tech Local Install - http://www.mrtech.com/extensions/local_install/
Nightly Tester Tools - http://users.blueprintit.co.uk/~dave/web/firefox/buildid/index.html
IE Tab - https://addons.mozilla.org/firefox/1419/
User-Agent Switcher - https://addons.mozilla.org/firefox/59/
ServerSwitcher - https://addons.mozilla.org/firefox/2409/
HeaderMonitor - https://addons.mozilla.org/firefox/575/
RefControl - https://addons.mozilla.org/firefox/953/
refspoof - https://addons.mozilla.org/firefox/667/
No-Referrer - https://addons.mozilla.org/firefox/1999/
LocationBar^2 - https://addons.mozilla.org/firefox/4014/
SpiderZilla - http://spiderzilla.mozdev.org/
Slogger - https://addons.mozilla.org/en-US/firefox/addon/143
Fire Encrypter - https://addons.mozilla.org/firefox/3208/

Add-ons for Firefox that help with Javascript and Ajax web application security

Selenium IDE - http://www.openqa.org/selenium-ide/
Firebug - http://www.joehewitt.com/software/firebug/
Venkman - http://www.mozilla.org/projects/venkman/
Chickenfoot - http://groups.csail.mit.edu/uid/chickenfoot/
Greasemonkey - http://www.greasespot.net/
Greasemonkey compiler - http://www.letitblog.com/greasemonkey-compiler/
User script compiler - http://arantius.com/misc/greasemonkey/script-compiler
Extension Developer's Extension (Firefox Add-on) - http://ted.mielczarek.org/code/mozilla/extensiondev/
Smart Middle Click (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/3885/

Bookmarklets that aid in web application security

RSnake's security bookmarklets - http://ha.ckers.org/bookmarklets.html
BMlets - http://optools.awardspace.com/bmlet.html
Huge list of bookmarklets - http://www.squarefree.com/bookmarklets/
Blummy: consists of small widgets, called blummlets, which make use of Javascript to provide rich functionality - http://www.blummy.com/
Bookmarklets every blogger should have - http://www.micropersuasion.com/2005/10/bookmarklets_ev.html
Flat Bookmark Editing (Firefox Add-on) - http://n01se.net/chouser/proj/mozhack/
OpenBook and Update Bookmark (Firefox Add-ons) - http://www.chuonthis.com/extensions/

SSL certificate checking / scanning

[ZIP] THCSSLCheck - http://thc.org/root/tools/THCSSLCheck.zip
[ZIP] Foundstone SSLDigger - http://www.foundstone.com/us/resources/termsofuse.asp?file=ssldigger.zip
Cert Viewer Plus (Firefox Add-on) - https://addons.mozilla.org/firefox/1964/

Honeyclients, Web Application, and Web Proxy honeypots

Honeyclient Project: an open-source honeyclient - http://www.honeyclient.org/trac/
HoneyC: the low-interaction honeyclient - http://honeyc.sourceforge.net/
Capture: a high-interaction honeyclient - http://capture-hpc.sourceforge.net/
Google Hack Honeypot - http://ghh.sourceforge.net/
PHP.Hop - PHP Honeynet Project - http://www.rstack.org/phphop/
SpyBye - http://www.monkey.org/~provos/spybye/
Honeytokens - http://www.securityfocus.com/infocus/1713

Blackhat SEO and maybe some whitehat SEO

SearchStatus (Firefox Add-on) - http://www.quirk.biz/searchstatus/
SEO for Firefox (Firefox Add-on) - http://tools.seobook.com/firefox/seo-for-firefox.html
SEOQuake (Firefox Add-on) - http://www.seoquake.com/

Footprinting for web application security

Evolution - http://www.paterva.com/evolution-e.html
GooSweep - http://www.mcgrewsecurity.com/projects/goosweep/
Aura: Google API Utility Tools - http://www.sensepost.com/research/aura/
Edge-Security tools - http://www.edge-security.com/soft.php
Fierce Domain Scanner - http://ha.ckers.org/fierce/
Googlegath - http://www.nothink.org/perl/googlegath/
Advanced Dork (Firefox Add-on) - https://addons.mozilla.org/firefox/2144/
Passive Cache (Firefox Add-on) - https://addons.mozilla.org/firefox/977/
CacheOut! (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/1453/
BugMeNot Extension (Firefox Add-on) - http://roachfiend.com/archives/2005/02/07/bugmenot/
TrashMail.net Extension (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/1813/
DiggiDig (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/2819/
Digger (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/1467/

Database security assessment

Scuba by Imperva Database Vulnerability Scanner - http://www.imperva.com/scuba/

Browser Defenses

DieHard - http://www.diehard-software.org/
LocalRodeo (Firefox Add-on) - http://databasement.net/labs/localrodeo/
NoMoXSS - http://www.seclab.tuwien.ac.at/projects/jstaint/
Request Rodeo - http://savannah.nongnu.org/projects/requestrodeo
FlashBlock (Firefox Add-on) - http://flashblock.mozdev.org/
CookieSafe (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/2497
NoScript (Firefox Add-on) - http://www.noscript.net/
FormFox (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/1579/
Adblock (Firefox Add-on) - http://adblock.mozdev.org/
httpOnly in Firefox (Firefox Add-on) - http://blog.php-security.org/archives/40-httpOnly-Cookies-in-Firefox-2.0.html
SafeCache (Firefox Add-on) - http://www.safecache.com/
SafeHistory (Firefox Add-on) - http://www.safehistory.com/
PrefBar (Firefox Add-on) - http://prefbar.mozdev.org/
All-in-One Sidebar (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/1027/
QArchive.org web file checker (Firefox Add-on) - https://addons.mozilla.org/firefox/4115/
Update Notified (Firefox Add-on) - https://addons.mozilla.org/en-US/firefox/addon/2098/
FireKeeper - http://firekeeper.mozdev.org/
Greasemonkey: XSS Malware Script Detector - http://yehg.net/lab/#tools.greasemonkey

Browser Privacy

TrackMeNot (Firefox Add-on) - https://addons.mozilla.org/firefox/3173/
Privacy Bird - http://www.privacybird.com/

Application and protocol fuzzing (random instead of targeted)

Sulley - http://fuzzing.org/
taof: The Art of Fuzzing - http://sourceforge.net/projects/taof/
zzuf: multipurpose fuzzer - http://sam.zoy.org/zzuf/
autodafé: an act of software torture - http://autodafe.sourceforge.net/
EFS and GPF: Evolutionary Fuzzing System - http://www.appliedsec.com/resources.html


'IT > 공격과 방어' 카테고리의 다른 글

가짜 전자서명 인증서 주의  (0) 2009.02.10
홈페이지 보안 강화 도구(CASTLE)  (0) 2009.01.20
Tools~~~  (1) 2008.12.23
새로운 Mass SQL Injection  (0) 2008.12.22
시스템 검사 도구 - TrendMicro HijackThis  (0) 2008.12.22
사용자 보호를 위한 체크 프로그램  (0) 2008.11.11

Mass SQL Injection의 스크립트 형태가 변경되고 있는 것 같습니다.
아래와 같은 형태의 로그가 검출되고 있다고 합니다.

 =<raqmtr$r{c<jwpt<+.z1/absnd*bfm.iq*nu:=&sbpjtp8<raqmtr$r{c<jwpt<+.z1/absnd*bfm.iq*nu:=&sbpjtp8<raqmtr$r{c<jwpt<+.z1/absnd*bfm.iq*nu:=&sbpjtp8<raqmtr$r{c<jwpt<+.z1/absnd*bfm.iq*nu:=&sbpjtp8<raqmtr$r{c<jwpt<+.z1/absnd*bfm.iq*nu:=&sbpjtp8<raqmtr$r{c<jwpt<+.z1/absnd*bfm.iq*nu:=&sbpjtp8

두가지의 로그를 봤습니다.
하나는 URL뒷단에 저런식으로 삽입한 경우이고, ( 뭔일이 일어나는지는 모르겠습니다. 테스트를 안해봐서..)
두번째는 Mass Sql Injection 형태로 원래 url부분에 저 이상한 구문을 넣는건데 convert하는 아무런 함수가 없이 직접 때려
넣더라구요.. 테이블 마다 아래와 같이 저러한 문구가 들어갈거고 역시 뭔 작용을 하는지는 모르겠습니다.
공격의 의미가 있는건지 없는건지..결론은 의미없는 문구를 넣은게 아닐까 하는 생각과 내가 모르는 뭔가가 있을까 하는 생각
ㅋㅋ 따라서 모르겠다는 거죠 ( 근데 쓰레기값 집어 넣은거 같다는 생각이 듭니다 )

구굴에서 검색해보니 여러개의 사이트가 당한것으로 판단이 됩니다. 암튼 이건 이거고
근데 전 안랩의 SafeGuard를 사용하는데 이거참...안전하다고 나오고 구글은 아니라고 나오고
누가 맞을까 ?



암튼 또 공격은 활성화 되어 갈 것이란 소리인가 ? ㅠㅠ

맘놓고 서핑하고 프다...plz...

'IT > 공격과 방어' 카테고리의 다른 글

홈페이지 보안 강화 도구(CASTLE)  (0) 2009.01.20
Tools~~~  (1) 2008.12.23
새로운 Mass SQL Injection  (0) 2008.12.22
시스템 검사 도구 - TrendMicro HijackThis  (0) 2008.12.22
사용자 보호를 위한 체크 프로그램  (0) 2008.11.11
동아 일보 사이트 ??  (0) 2008.10.23

[자료 출처] http://hummingbird.tistory.com/689


자신의 컴퓨터가 원치않는 광고가 생성되거나 각종 악성코드 감염이 의심될 때 문제가 되는 컴퓨터 시스템에 대한 원인을 알기 위해 네이버 지식인이나 보안 카페에 증상을 설명하는 경우가 있습니다.

이런 경우 제일 많이 사용하는 방법이 특정 스크린샷을 찍어서 상대방에게 원인을 물어보게 되는데, 다양한 현상을 단순히 스크린샷 한 두장을 보고 판단하기는 무척 어렵습니다.

이런 경우 현재 제일 보편화된 방법 중의 하나가 컴퓨터 시스템에 설치된 각종 프로그램과 설정 정보를 스캔하여 제공할 수 있는 HijackThis 검사 도구가 아닐까 생각됩니다.

현재 세계적인 보안 업체 TrendMicro에서 무료로 제공하고 있는 이 검사 도구는 간단히 한 번의 스캔을 통해 현재 시스템의 설정에 대한 기본적인 정보를 통해 감염 여부와 해당 문제를 파악할 수 있는 기초 정보를 확인할 수 있습니다.


HijackThis 프로그램을 설치하시고 실행하시면 초기에 제시되는 화면에서 [Do a system scan only]를 클릭하여 시스템을 검사하도록 합니다.


위와 같이 검사가 완료되면 제공되는 각종 정보를 좌측 하단의 [Save log] 버튼을 클릭하여 log 파일을 저장하여 해당 로그 파일을 메모장으로 열어 복사하거나 또는 log 파일 그대로 웹상에 제공하여 전문가의 문제 파악에 도움을 주시면 됩니다.

여기서 주의하실 점은 자신이 스캔에서 나온 일부 항목을 체크하여 마음대로 Fix(수정)을 할 경우 윈도우 시스템에 문제가 발생하여 최악의 경우 윈도우 작동 불능 현상을 가져올 수 있으므로 함부로 건드시면 안됩니다.

해당 로그에는 BHO 정보, 시작 프로그램 관련 정보, 설치된 ActiveX 정보, 서비스 등록 정보 등 각종 시스템 관련 정보가 추가되어 있기에 상대방이 손쉽게 컴퓨터 정보를 확인하여 유해 프로그램에 대한 판단을 할 수 있는 기초 도구로 활용할 수 있습니다.


특정 항목에 대한 추가적인 상세한 정보를 알기 위해서는 원하는 항목을 선택하시고 좌측 하단의 [info on selected item] 버튼을 클릭하시면 됩니다.


그러면 위와 같이 해당 항목에 대한 설명과 함께 HijackThis가 표시하는 항목에 대한 추가적인 정보를 확인할 수 있습니다.

해당 프로그램을 통해 특정 악성코드를 바로 수정할 수 있는 것은 아니지만, 최소한 자신의 시스템에 문제가 발생하였을 경우 제대로 된 정보를 제공하여 문제 파악을 쉽게 할 수 있으리라 생각됩니다.

'IT > 공격과 방어' 카테고리의 다른 글

Tools~~~  (1) 2008.12.23
새로운 Mass SQL Injection  (0) 2008.12.22
시스템 검사 도구 - TrendMicro HijackThis  (0) 2008.12.22
사용자 보호를 위한 체크 프로그램  (0) 2008.11.11
동아 일보 사이트 ??  (0) 2008.10.23
CC ATACK  (0) 2008.09.22

1. Mass SQL Injection 에 대한 검색
    검색창에서 아래와 같이 입력 ex naver.com 에 대한 검사
    ( 참고로 검색 자체가 삽입된 스크립트가 cn or com으로 끝나는 사이트 즉 중국쪽으로 포워딩 하는 것만을 검사하는 형태입니다.)
    굵게 표시된 부분에 자신이 방문할 사이트에 대한 Mass SQL Injection으로 인한 스크립트 삽입에 대한 검사를 합니다.

      "script src" +cn|com +js site:www.naver.com



2. Google safebrowsing
이는 특정 공격방식에 대한 검색이 아니라 이전에 설명한 안랩의 세이프 가드처럼 웹부라우저를 통한 사이트 검색입니다.
세이프 가드와 같은 어플을 사용하지 않고 단일 사이트 접속시 미심적다 싶으면 검색할때 용이할 것입니다.

   http://www.google.com/safebrowsing/diagnostic?site=http://www.naver.com&hl=ko


  

'IT > Information' 카테고리의 다른 글

MS SQL 서버 신규 원격코드 실행 취약점 주의  (0) 2009.02.10
사이코패스 테스트  (0) 2009.02.05
구글 검색 Tip  (0) 2008.12.09
Saved Password Locations  (0) 2008.12.04
/MarkAny/Websafer/MaSiteInfo.ini  (0) 2008.11.19
MIME-Types and Content Typ  (0) 2008.11.11


Saved Password Locations

Many people ask me about the location in the Registry or file system that applications store the passwords. So I prepared a list of password storage locations for popular applications.
Be aware that even if you know the location of the saved password, it doesn't mean that you can move it from one computer to another. many applications store the passwords in a way that prevent you from moving them to another computer or user profile.

  • Internet Explorer 4.00 - 6.00: The passwords are stored in a secret location in the Registry known as the "Protected Storage".
    The base key of the Protected Storage is located under the following key:
    "HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider".
    You can browse the above key in the Registry Editor (RegEdit), but you won't be able to watch the passwords, because they are encrypted.
    Also, this key cannot easily moved from one computer to another, like you do with regular Registry keys.

    IE PassView and Protected Storage PassView utilities allow you to recover these passwords.


  • Internet Explorer 7.00 - 8.00: The new versions of Internet Explorer stores the passwords in 2 different locations.
    AutoComplete passwords are stored in the Registry under HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2.
    HTTP Authentication passwords are stored in the Credentials file under Documents and Settings\Application Data\Microsoft\Credentials , together with login passwords of LAN computers and other passwords.

    IE PassView can be used to recover these passwords.

  • Firefox: The passwords are stored in one of the following filenames: signons.txt, signons2.txt, and signons3.txt (depends on Firefox version)
    These password files are located inside the profile folder of Firefox, in [Windows Profile]\Application Data\Mozilla\Firefox\Profiles\[Profile Name]
    Also, key3.db, located in the same folder, is used for encryption/decription of the passwords.


  • Google Chrome Web browser: The passwords are stored in [Windows Profile]\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data
    (This filename is SQLite database which contains encrypted passwords and other stuff)


  • Opera: The passwords are stored in wand.dat filename, located under [Windows Profile]\Application Data\Opera\Opera\profile


  • Outlook Express (All Versions): The POP3/SMTP/IMAP passwords Outlook Express are also stored in the Protected Storage, like the passwords of old versions of Internet Explorer.

    Both Mail PassView and Protected Storage PassView utilities can recover these passwords.



  • Outlook 98/2000: Old versions of Outlook stored the POP3/SMTP/IMAP passwords in the Protected Storage, like the passwords of old versions of Internet Explorer.

    Both Mail PassView and Protected Storage PassView utilities can recover these passwords.



  • Outlook 2002-2008: All new versions of Outlook store the passwords in the same Registry key of the account settings.
    The accounts are stored in the Registry under HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\[Profile Name]\9375CFF0413111d3B88A00104B2A6676\[Account Index]
    If you use Outlook to connect an account on Exchange server, the password is stored in the Credentials file, together with login passwords of LAN computers.

    Mail PassView can be used to recover lost passwords of Outlook 2002-2008.


  • Windows Live Mail: All account settings, including the encrypted passwords, are stored in [Windows Profile]\Local Settings\Application Data\Microsoft\Windows Live Mail\[Account Name]
    The account filename is an xml file with .oeaccount extension.

    Mail PassView can be used to recover lost passwords of Windows Live Mail.


  • ThunderBird: The password file is located under [Windows Profile]\Application Data\Thunderbird\Profiles\[Profile Name]
    You should search a filename with .s extension.



  • Google Talk: All account settings, including the encrypted passwords, are stored in the Registry under HKEY_CURRENT_USER\Software\Google\Google Talk\Accounts\[Account Name]


  • Google Desktop: Email passwords are stored in the Registry under HKEY_CURRENT_USER\Software\Google\Google Desktop\Mailboxes\[Account Name]


  • MSN/Windows Messenger version 6.x and below: The passwords are stored in one of the following locations:
    1. Registry Key: HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
    2. Registry Key: HKEY_CURRENT_USER\Software\Microsoft\MessengerService
    3. In the Credentials file, with entry named as "Passport.Net\\*". (Only when the OS is XP or more)


  • MSN Messenger version 7.x: The passwords are stored under HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Creds\[Account Name]


  • Windows Live Messenger version 8.x/9.x: The passwords are stored in the Credentials file, with entry name begins with "WindowsLive:name=".

    These passwords can be recovered by both Network Password Recovery and MessenPass utilities.


  • Yahoo Messenger 6.x: The password is stored in the Registry, under HKEY_CURRENT_USER\Software\Yahoo\Pager
    ("EOptions string" value)



  • Yahoo Messenger 7.5 or later: The password is stored in the Registry, under HKEY_CURRENT_USER\Software\Yahoo\Pager - "ETS" value.
    The value stored in "ETS" value cannot be recovered back to the original password.



  • AIM Pro: The passwords are stored in the Registry, under HKEY_CURRENT_USER\Software\AIM\AIMPRO\[Account Name]


  • AIM 6.x: The passwords are stored in the Registry, under HKEY_CURRENT_USER\Software\America Online\AIM6\Passwords



  • ICQ Lite 4.x/5.x/2003: The passwords are stored in the Registry, under HKEY_CURRENT_USER\Software\Mirabilis\ICQ\NewOwners\[ICQ Number]
    (MainLocation value)



  • ICQ 6.x: The password hash is stored in [Windows Profile]\Application Data\ICQ\[User Name]\Owner.mdb (Access Database)
    (The password hash cannot be recovered back to the original password)


  • Digsby: The main password of Digsby is stored in [Windows Profile]\Application Data\Digsby\digsby.dat
    All other passwords are stored in Digsby servers.


  • PaltalkScene: The passwords are stored in the Registry, under HKEY_CURRENT_USER\Software\Paltalk\[Account Name].

자료 출처 : http://www.nirsoft.net/blog/2008/11/saved-password-locations.html

'IT > Information' 카테고리의 다른 글

사이코패스 테스트  (0) 2009.02.05
구글 검색 Tip  (0) 2008.12.09
Saved Password Locations  (0) 2008.12.04
/MarkAny/Websafer/MaSiteInfo.ini  (0) 2008.11.19
MIME-Types and Content Typ  (0) 2008.11.11
HTTP Status Code  (0) 2008.11.10

쿠키 기반의 세션 키는 가장 보편적인 웹어플리케이션 프레임웍입니다. 세션이라는 것이 이번 호출과 다음 호출간 문맥을 유지시켜주는 역할을 하는 것이라서 좋은데, 여기에는

쿠키가 노출 될 경우 세션이 하이재킹 될 수 있는

취약점이 있습니다. 가장 잘 알려진 것이 XSS이고, 웹에서의 많은 공격은 XSS를 통해 이루어지는 것임을 알 수 있습니다. 세션 쿠키 유출을 막기위해
  • 네트워크에서는 https 에서만 세션 정보를 이용하게 만든다거나
  • 세션에 IP 정보를 저장해두어 다른 IP에서 올라오는 경우 무시하거나
  • User-agent 정보를 저장해 두어 다른 User agent에서 올라오는 경우 무시하는
등의 방법들을 사용합니다. 마지막 방법의 경우 약간 생소한데, 이런 모든 경우에 대해서 사용자들에게는 정상적이나 어떤 특정 환경에서 세션이 유지되지 않는 경우가 발생하게 됩니다

IP는 자주 변하는 곳이 때에 따라 있습니다. NAT를 이용하는 경우 내부 IP 고갈로 인해 일정 시간 사용하지 않으면 다른 사람에게 IP를 할당하기도 합니다.

User-agent의 경우, 오늘에야 찾아낸 버그(?)인데, I.E에 설치된 DRM 관련 프로그램이 IE와 쿠키를 공유하면서, 동시에 User-agent는 자체 값을 가지고 오는 경우가 있습니다. 또는 플래시가 그러하기도 합니다. 플래시는 웹 개발 영역에 있으므로 제어가 가능하다지만, DRM 관련 프로그램이 다음과 같은 동작을 수행합니다.

http://[HOSTNAME]/MarkAny/Websafer/MaSiteInfo.ini

어찌된일인지 그 프로그램은 내가 들어가는 모든 사이트에서 저 파일을 찾는군요. 도메인이 바뀌기만하면, 저 MaSiteInfo.ini 파일을 가져오려고 시도합니다. 문제는 IE의 Cookie를 그대로 보내오는데, User-agent가 바뀌는 것이 문제입니다. Fiddler로 보니, IE에서 전송되는 것으로 보아 독립된 프로세스는 아니군요. 이렇게 되면, 세션 키에 해당하는 User-agent가 변경되었음을 감지하고, 웹어플리케이션은 세션하이재킹 시도라 판단하여 세션을 종료시킵니다.

혹, 저 프로그램 개발자분이 이 글을 읽으신다면, 왜 모든 사이트에서 저 파일을 가져오기 시도하는지 알려주셨으면 합니다. ;) 꼭, 저 파일을 가져와야 합니까요?
사용자 삽입 이미지


출처 : http://coolengineer.com/514

'IT > Information' 카테고리의 다른 글

구글 검색 Tip  (0) 2008.12.09
Saved Password Locations  (0) 2008.12.04
/MarkAny/Websafer/MaSiteInfo.ini  (0) 2008.11.19
MIME-Types and Content Typ  (0) 2008.11.11
HTTP Status Code  (0) 2008.11.10
Systems Error Codes  (0) 2008.10.02