MS Office Zero-Day 공격주의보

원문출처: http://www.boannews.com/media/view.asp?idx=17088&kind=1 

 
  2009년 7월 13일 마이크로소프트에서 신규 제로데이(Zero-Day) 보안 취약점을 발표했습니다.  잉카 인터넷 시큐리티 대응센터(ISARC)의 보안 관제 상황에 따르면 중국내 특정 사이트들을 중심으로 금번 신규 취약점 공격 보고가 다수 발견되고 있으며, 국내로 공격 방식이 유입될 가능성이 높다고 예측되고 있어 인터넷 사용자들의 각별한 주의가 요망되고 있는 실정입니다.
  MS의 7월 정기 보안 업데이트 발표가 얼마 남지 않은 임박한 시점에 발견되기 시작한 Zero-Day 취약점 공격이기 때문에 해당 문제를 해결할 수 있는 패치 프로그램은 다음 정기 보안 업데이트 일정에 따라 배포될 가능성이 높다고 합니다.  이런 경우  MS에서는 대개 응급조치법을 제공하는데요..   공식적으로는 권장하지 않습니다.  문제가 생긴 곳에서는 적용해보라고 식이죠.. ^^
  여기 있는 Fix it은  향후 정식 패치가 나오게 되면  Rollback을 해야 한다고 하니  널리 배포하지 않는 것이 좋습니다.
Roll back파일은 위 링크에서 함께 제공됩니다.

[Trend Officescan] TMCM를 이용하여 업데이트하기

  인터넷에 접속되지않거나  기존에 트렌드에서 제공하는 active update서버에 접속이 되지않는 경우 TMCM을 이용하여  최신 버전으로 업데이트가 가능합니다.  네트웍 구조에 따라서 피치못하게  Trend active update서버에서 업데이트를 할 수 없는 경우  아래 방법을 사용하시면 되겠습니다.

Officescan 업데이트 서버 주소: http://osce8-p.activeupdate.trendmicro.com/activeupdate

TMCM 업데이트 주소http://TMCM_server_IP_address:8080/controlmanager/download/activeupdate/

트렌드에서 제공하는 Active Update 링크에서  TMCM서버의 업데이트 링크로 바꾸기
1. 웹콘솔에서 Update / Server / Update source 메뉴로 이동
2. Other update source 선택하고   TMCM업데이트 링크를 입력한다.
3. 저장하고 나온다.  ^^사용자 삽입 이미지

가상화로 DDos를 막는다

  최근 일어난  7.7 Ddos사태가 이제서야 마무리되어 가고 있습니다.  하지만 여전히 위협은 끝나지 않았고  또 다른 Ddos공격이 언제든 일어날 수있는 상황입니다.  이전과는 달리 C&C서버를 이용하지 않는 새로운 수법에  대응이 더 힘들었다고는 하지만  사실  제가 참석했던 각종 보안관련세미나에선  이부분을 이미 언급했었더랬습니다.   C&C서버를 이용하지 않는 공격이 발생하면  대응이 어렵다는 경고들이 있었다고 한다면..    충분한  준비가 부족했다는 생각이 듭니다.  

   번에는  최초 배포된 악성코드의 패턴을 분석하여  그에 대응하는 것이 가능했는데   이것은 해커가 추가적으로  기 배포된 좀비들에 새로운 명령을 내릴 수 없었기 때문이었습니다.  하지만 C&C서버나  사전 입력된 프로그램을 이용하지 않고  P2P방식을 이용한다면 얼마든지 새로운 명령을 내릴 수있기 때문에   대응이 더욱더 어려워질 것입니다.  그런 면에서   한세텔레콤에서 제시한 가상화를 이용한 Ddos방어는   효과가 있을 것으로 보입니다.  요는 서버의 실제 위치를 감추고  dns를 암호화하여   Ddos공격을 무위로 돌리려는 것입니다.  Ddos라는 것은  특정 목표에 공격을 집중시키는 것이니까..  특정목표라는 공격지 자체를 은폐시키거나 변경시킬 수있으면  효과적인 방어가 가능하겠죠..    

출처: http://www.datanet.co.kr/news/news_view.asp?id=46117&acate1=0&acate2=3

한세텔레콤(대표 오태환 http://www.hansetel.com/) 정보보안사업부문이 DDoS 공격의 새로운 방안으로 가상화를 제시했다. 실제 서비스 서버가 아닌 가상 서버로의 접속유도함으로써 DDoS 공격을 회피한다는 것.

한세텔레콤은 2008년 6월 무인전자경비업체인 KSC, 올해 3월 DDoS/IPS 기업 지모컴 등을 인수하면서 보안 시장에 적극적으로 뛰어들고 있다.

한세텔레콤은 “기존 보안의 방법으로 DDoS 100% 막아 내기에는 원천적으로 불가능하다”며 “가상화에 기반해 서비스 서버의 위치를 알 수 없게 하는 스텔스 기능과 DNS암호화 등을 통해 회피하는 방법으로 DDoS를 방어해야 한다”고 밝혔다.

한세텔레콤은 이러한 방법을 구현한 ‘분산중계기술을 이용한 DDos 방어기술’로 특허를 획득한 상황이다. 이 기술은 실제 서비스 존을 대신하는 가상의 서비스 존을 다수 형성하고 공격자로 하여금 가상의 서비스 존으로 공격을 유도하는 것으로, 가상의 목표물를 내세워 실제 목표물을 은폐시키고, 공격자가 어디를 공격해야 할지 모르게 혼란에 빠트리는 위장기술이라 할 수 있다.

한세텔레콤에 따르면, 실제 서비스 존을 공격자가 알 수 없기에 실 서비스 서버를 보호하여 공격 시에도 정상적인 서비스 제공을 가능하게 한다. 또한 서버에 접근하는 접속자를 대상에 따라 접근루트를 변경하게 할 수 있으며, 공격을 받더라도 가상 서버에 대한 공격이기에 모든 복구가 빠르다는 장점이 있다.

한세텔레콤 정보보안사업부문는 현재 게임사이트를 대상으로 서비스망을 구축하였으며, 실제 DDoS공격으로 부터 효과적인 방어를 구현하고 있다고 밝혔다.

AD그룹정책을 이용하여 사내pc에서 웜파일 실행을 차단하기

  이 글은 ActiveDirectory가 구축된 회사에서  웜 확산을 초기에 막는데  도움이 됩니다. ^^  ActiveDirectory는 비용이 별로 들지않으면서  회사내의 수많은 시스템을 효과적으로 관리할수있는 좋은 인프라라고 할 수있습니다.  저희 회사에선 AD를 사용하고 있는 중이구요..    AD인프라를 사용하는 회사가 늘어나고 있으므로   이런 회사들에 있어서 초기에 웜 확산을 저지하는데  사용할 수있는 소프트웨어 차단 정책을 소개합니다.  이 정책을 이용하면  한번의 작업으로  회사내의 모든 PC에서  지정한 웜파일의 실행을  차단할 수 있습니다.

1. AD 관리툴인 “Active Directory 사용자및 컴퓨터”를 실행합니다. (명령: dsa.msc)
    – 차단하고자 하는 PC OU에 마우스를 올리고 우클릭 합니다.
    – 등록정보창에서  Group Policy 탭으로 이동한후  Open을 클릭합니다.
    – 그룹정책 관리를 위해 GPMC를 설치할 것을 강력히 권합니다.
       GPMC 다운로드 받기 <<jaewook.net의 포스팅 >>  << MS에서 다운로드받기 >>사용자 삽입 이미지
2. GPMC를 이용에서  파일 실행 제한을 위한 그룹정책을 만들어보겠습니다.
    – 원하는 PC OU에 마우스 커서를 위치한후 마우스 우클릭하여 메뉴를 나타나게합니다.
    – Create and Link a GPO Here..를 클릭합니다.
사용자 삽입 이미지
3. Policy_restriced_SW라는 이름의 정책을 만듭니다.
    – 만들어진 정책에 마우스를 올린후  Edit 클릭
사용자 삽입 이미지
4. 그룹정책 개체 편집기를 이용하여  새 소프트웨어 제한 정책을 만듭니다.
   – 컴퓨터구성/ Windows 설정/ 보안설정 / 소프트웨어 제한정책 트리로 이동합니다.
   – 팝업메뉴에서 새 소프트웨어 제한 정책을 클릭합니다.사용자 삽입 이미지
5. 새 경로규칙 만들기를 선택하여  차단하고자 하는 파일 정보를 입력합니다.
    – 웜이 사용하는 주 실행 프로세스들을 입력해줍니다.
    – 20090707 발생한 Mydoom 계열의 Ddos바이러스가 이용하는 실행파일들은 아래와 같습니다.
       msiexec2.exe ,  msiexec1.exe 사용자 삽입 이미지
사용자 삽입 이미지
자 이제 모든 창을 닫고 나오면 되겠습니다.

▶ 주의사항
1. 테스트 필요
  이런 실행차단 정책은 사전에  테스트가 필수입니다.  잘못입력하여 정상파일을 차단하기라도 하면 큰일입니다.
처음엔 테스트OU에서만 적용하여 정상 작동을 확인한 후  전체 AD에 적용해야합니다.
2. 배포시간 고려
  AD의 인프라를 이용하기 때문에 배포하는데 약간의 시간이 걸립니다. 시간상으로 10-30분 정도가 소요되고  이 정책을 적용받으려면  실제적으론 PC가 리부팅되어야 합니다. 소프트웨어 제한 정책은 컴퓨터 계정에 적용되는 정책이기 때문에  pc가 리부팅될때 적용받을수있습니다.  회사에서 pc사용시간을 고려하면 적용되기 원하는 전날 저녁에 정책을 적용한 것이 적당하다 하겠습니다.

[보안공지메일] 7.7 Ddos대란 ! 데이터 파괴 우려까지

  7.7 Ddos대란이라고 불리면서  국내외적으로 엄청난 관심과 우려를 불러일으킨 현 시점에서  직원들의 보안인식 제고를 위해서  보안공지메일을 보내시는 것이 좋을 듯합니다.  

  안철수 박사님이 이야기하신 것처럼  이젠  특정한 기관이나  기술자가  막을 수 있는 것이 아니라 국가적으로 모든 사람이  보안의식을 가지고  사전에 자신의 PC가 좀비가 되지 않도록 예방하는 것이가장 비용이 적게 들면서도   효과적인 방법이 아닐까 합니다.   물론 국가적으로도 대응체계 전반에 걸쳐서 많은 투자가 있어야 할 것 같구요..   200억 예산을 세웠다고 하는 데 지속적으로  인재양성, 기술계발, 전국민을 대상으로한 보안인식 제고활동등이 시행되어야 할 것 같습니다.

제목:  7.7 Ddos대란 ! 데이터 파괴 우려까지
내용:

  지난 7일 오후 6시  한국과 미국의 주요 인터넷 사이트를 대상으로 시작된 Ddos공격은  8일 변종출현, 10일 0시 데이터 파괴로 이어지고 있습니다.   7.7 Ddos대란이라고 까지 불리고 있는 상황입니다. 

  초기엔 공격대상 인터넷 사이트의 접속을 지연시키는 단순한 Ddos로 보여졌지만 지난 1999년의 체르노빌(CHI)바이러스처럼  감염pc의 데이터 파괴 피해가 발생할 수 있음이 밝혀졌습니다.  MS의 보안취약점을 이용하여  퍼지고 있으나  정작 MS에서는 아직 공식 패치를 발표하지 않고 있습니다.  다행히 주요 백신사들은 이에 대해 대응을 하고 있어서  최신 백신 패턴을 업데이트만 잘 하면 큰 피해는 막을 수 있는 상황입니다.   다행히 현 시점에선  5개의 숙주사이트를 국내에서 접속이 되지 않도록 차단하는 등 … Ddos공격이 진정국면으로 접어들었으나 아직 안심할 수 없는 상황입니다.
사용자 삽입 이미지
★ Ddos바이러스 공격개요
7.7 오후6시 1차 Ddos  – 백안관,청와대,네이버,조선일보,옥션…
7.8 오후5시 2차 Ddos  -국정원,네이버메일,안철수,알툴,은행권
7.9 오후6시 3차 Ddos  – 다음메일,네이버메일,옥션,조선일보…
7.10 오전 0시 이후 : 암호화 후 데이터파괴
  16개국 86개 IP통해 사이버 테러…  5만대 이상 감염된 것으로 추정…

★ Ddos 바이러스의 피해를 받지 않기 위해선 …
1. 수상한 메일은 열지 말세요 
  – 현 Ddos바이러스는 Mydoom 계열로서 초기엔 메일로 전파
  – 수상한 메일은 읽지 말고 바로 삭제,  아웃 룩 미리보기 끄기
2. PC의 보안패치를 최신으로 유지해주세요
  –  백신 업데이트는 항상 최신으로 ( 현 시점에선 7월 8일 이후버전 )
  – 백신이 없으면  설치해 주시고  반드시 최신으로 업데이트 해주세요
3.  ‘보안은 나부터’라는  보안의식을 가져주세요
  – 컴퓨터를 사용하는 모든 사람이 자발적으로 안전하게 pc를 관리해야 합니다.
 – 해킹기술의 발전으로  국가전체의 사이버 안전까지도 위협받고 있습니다.

사용자 삽입 이미지

[DDos공격] MPEG2TuneRequest activeX 제로데이 취약점 이용 유력

관련글 출처:  http://www.boannews.com/media/view.asp?idx=16962&kind=0

  와대및 다수의 국가기관 사이트,  네이버, 옥션 등의 홈페이지가 DDoS 공격을 받아 서비스 마비현상을 보이고 있습니다.   또한 미국쪽의 다수 사이트들도 공격을  받았구요..  미국쪽의 일부 사이트쪽에선  한국이 중계지점으로 지목되어  한국으로부터 접속을 차단한 바  있다고 합니다.  공격지가 어디인지 제대로 파악이 되지않은 상태인데.. 치밀한 준비끝에 이루어졌으며 사실상  예고된 공격의 성격을 가지고 있다고 합니다.   국정원에선  북한을 배후로 지목하기도 했습니다.    어쨋든 이번의  DDoS 공격의 원인은 최근 보고된 MS의 제로데이 취약점을 노린 악성코드가 실제적인 공격수단으로  보인다고 합니다. 이번 공격은  MS의 공식 패치도 아직 발표되지 않은  상태이기때문에 더욱 더 우려되는 상태이구요..  현재 내 컴퓨터가 좀비가 되어 있지는 않은지 점검이 필요할 듯합니다.

  2009년 7월 7일 중국에서 Microsoft DirectShow (msvidctl.dll) 취약점을 이용한 Zero-Day Exploit이 출현했습니다. 

▶  전파방법 : 윈도우 취약점을 악용하여 전파되거나 홈페이지 은닉 악성코드로 전파됨
    격자는 악의적인 웹 사이트에 사용자가 접속하도록 유도하여 공격자가 심어놓은 코드 실행
 – 취약점 내역: TV 튜너 지원을 제공하는데 사용되는 MPEG2TuneReuqest ActiveX 컨트롤 취약점,
 – 관련 CVE : CVE-2008-0015 [5]

▶  악성코드 공격특성  

   격을 수행한 악성코드는 파일명 msiexec2.exe(파일길이 : 33,841 바이트)’으로   이 파일은 실행될 때 uregvs.nls 파일을 생성하고 EXE 파일에는 코드 내부에 공격 리스트를 담고 있음.
  실제 공격을 수행하는 파일은 DLL 파일로 현재까지 perfvwr.dll(파일 길이 : 65,536 바이트) wmiconf.dll(파일 길이 : 67,072 바이트) 2개의 파일이 발견됐으며, DLL 파일은 공격할  리스트를 읽어 들여 해당 사이트로 공격함

▶  감염후 증상
 
 염된 PC를 좀비컴퓨터로 만들어 분산서비스공격(DDoS)를 수행. 악성코드가 만들어내는 트래픽은 한 PC에서 초당 1,050 패킷으로 100 킬로 바이트 정도 발생

▶  대응방법
  1) 응급패치 실시:  MS공식 패치는 아닙니다.
        (주) NSHC보안연구소에선 관련된 임시보안패치를 배포중입니다. 하지만  기존의 동영상서비스 이용에 문제가 발생할 수 도 있으니 안전이 더 우선시되는 곳에서만 배포하라고 권하고 있던군요…  
배포 URL: http://www.nshc.net/bbs.php?table=sub_nshc_04_01&query=view&uid=626 

  2) Outbreak Prevention 실시
      실행파일에 대한  쓰기 금지 또는 실행차단을 할 것
      msiexec1.exe  msiexec2.exe  msiexec3.exe  wmcfg.exe  wversion.exe
      perfvwr.dll  wmiconf.dll   uregvs.nls

▶  악성코드에 포함된 공격사이트 리스트

국내 사이트
http://www.president.go.kr/ (청와대), http://www.mnd.go.kr/ (국방부), http://www.mofat.go.kr/ (외교통상부), http://www.assembly.go.kr/ (대한민국 국회), http://www.usfk.mil/ (주한 미군), blog.naver.com (네이버 블로그), mail.naver.com (네이버 메일), banking.nonghyup.com (농협 인터넷 뱅킹), ezbank.shinhan.com (신한은행 인터넷 뱅킹), ebank.keb.co.kr (외환은행 인터넷 뱅킹), http://www.hannara.or.kr/ (한나라당), http://www.chosun.com/ (조선일보), http://www.auction.co.kr/ (옥션)

미국 사이트
http://www.whitehouse.gov/, http://www.faa.gov/, http://www.dhs.gov/, http://www.state.gov/, http://www.voanews.com/, http://www.defenselink.mil/, http://www.nyse.com/, http://www.nasdaq.com/, finance.yahoo.com, http://www.usauctionslive.com/, http://www.usbank.com/, http://www.washingtonpost.com/, http://www.ustreas.gov/ 

피싱메일에 넘어가지 말자

피싱에 주의해야할 것 같습니다.  점점 피싱이 정교해지고 그럴듯해지고 있습니다.  얼마전에 Microsoft에서  Office update를 권고한 것으로 보이는 메일이 왔었는데 정말 그럴듯하더군요

 

1. 진짜 같은 인터페이스에 넘어가지 말자

  아래 그림에서 보이듯  MS에서 사용하는 것과 매우 유사한 인터페이스를 가지고 있습니다. 내용도 별 이상한 것이 없고  요즘처럼 불안한 상황에서 보안업데이트를 하라는 좋은 (?) 권고상항으로 보입니다.  특히 관리자를 사칭하는 메일은 주의가 필요하다.  

 

2. 가짜 링크에 주의하자 (마우스를 링크위에 올려놓아 보자)

  링크이름은  http://update.microsoft.com/* 이지만  마우스를 살짝 올려보면   http://*.com.mx/*  라는 진짜 링크주소가 나옵니다. 도메인명을 읽을때 앞에서부터 읽으면 깜박 넘어갈수 있는 대목입니다.  도메인은 뒤에서 부터 읽어야한다는 것이죠..  

사용자 삽입 이미지

3. 유명업체의 무료 이벤트 사칭에 속지말자.

    최근의 사례입니다. 유명 인터넷 쇼핑몰에서  온라인 무료체험 이벤트를 사칭한 메일이 뿌려졌었습니다.  국내 대기업이나 주요포털사이트등의 이메일 양식을 이용해서 메일이 오는데..   정수기, 영어회화, 공무원수험서등의 상품을 무료로 체험할 수 있다고 속여 개인정보(주민번호,나이,전화번호,주소등..)를 수집한 바 있습니다.

   메일 주소를 자세히 보면  정상사이트의 관리자 메일주소와 매우 유사하긴 하지만 실제로는 다른 특징을 가지고 있습니다.  도메인주소가 미묘하게 다르죠.. ^^   예를 들면  webmaster@abc.com이 원래의 주소라면 webmaster@reply.abc.com 라는 다른 주소를 사용하는거죠..  얼핏보면  속기 쉽죠.. ^^

 

사용자 삽입 이미지

 

[백신운영] Malisa.H 바이러스와 Outbreak Prevention설정

  많은 바이러스가 쏟아져 나오지만  백신은 바이러스들을 잘 처리 못하는 경우가 많습니다.  특정 파일네임을 공유폴더내에 쓰기시도하는 것으로  공격을 시작하는 경우  Outbreak prevention설정은 매우 유용한 방어 수단이 될 수있습니다.

   제로 며칠전에 WORM_MALISA.H 란 바이러스가  공격이 들어온 적이 있었는데요..
공유폴더상에 위치한 몇개의 파일들을 쓰기 시도하는 것을 볼수있었습니다.

WORM_MALISA.H 바이러스의 고약한 동작 방식은 이랬습니다.
1. 먼저 아래의 보이는 파일들을  공유폴더상에 만들어냅니다.
   이런 파일들을 쓰면서  공격이 시작되더군요…
  c:\autoply.exe
  %AppData%\usrinit.exe
  %LocalSettings%\startup.exe
  %Temp%\systray.exe
  %ProgramFiles%\Common Files\AdobeUpdate.exe
  %ProgramFiles%\XPCode\SexGame.exe
  %ProgramFiles%\XPCode\SexGameList.pif
  %ProgramFiles%\XPCode\
SexScreenSaver.scr

2. 공유폴더상의 기존 실행파일의 이름에 lib라는 문자를 추가하여  rename시킵니다.
    (aaa.exe -> aaalib.exe)  –> 이때는 백신이 동작하지 않습니다.
3. rename시키면서  해당실행파일을 숨김속성으로 바꾸어 버립니다.
    (다행히 파일 삭제는 하지않습니다)
4. 그리고 나서 바이러스 자신이  원래의 파일인양  이름을 바꾸어 들어갑니다.
   –> 이때 백신이 동작하면서 바이러스를 지우게 됩니다.
   –> 하지만 이미 일부 실행파일들은  침해를 당한 이후가 되게 됩니다.  ㅠㅠ

 바이러스 동작 특성 상  백신은 바이러스를 잘 차단하고 있는데도  서비스에 악영향을 주게 되더군요..
그래서  아예 공격이 시작되지않도록   Ountbreak Prevention 설정을 하게 되었습니다.
최초 공격이 시도되는 파일을 차단함으로서 감염확산을 막을 수 있었습니다.

 지금부터 Trend의 Officescan서버에서 outbreak prevention설정을 시작해보도록 하겠습니다.
사실 다른 백신에서도 유사한 설정을 하는 것이 가능합니다.

1. Outbreak Prevention메뉴 클릭
    참고로 이 메뉴는 해당 서버내의 모든 officescan client에게 영향을 주게 됩니다.
    영향을 잘 고려하시어 어떤 정책을 가져갈지 결정하시기 바랍니다.사용자 삽입 이미지
2. Start Outbreak Prevention 버튼 클릭사용자 삽입 이미지
3. Outbreak Prevention설정하기
    1) limit/ deny access to share foleders : 공유폴더에 쓰기 기능 차단 (주의요망)
    2) deny write access to files and folders: 폴더,파일 쓰기 차단 (추천)
        바이러스가 예상되는 파일들을 미리 이곳에 설정해두세요…  예)autorun.inf등….
   
3) break시간을 설정해주어야합니다. 기본으로 48시간입니다. 48시간후면  차단이 풀립니다.
        항상 break시간을 상기해서  예상되는 바이러스파일들을 사전에 차단하는거을 추천합니다.
    4) client에 알림설정은 하지않는 것이 좋은듯합니다. 저는 안합니다. 괜히 불안감 조성하죠.. ^^
    5) Start outbreak prevetion버튼을 누르면 그때부터 지정시간동안 차단이 됩니다.
       설정값들을 다 넣은후   마지막에 실행하면 되겠습니다.사용자 삽입 이미지4. deny write access to files and folders의 세팅사례입니다.  사용자 삽입 이미지

[XSS filename Injection 공격] XSS 신규 취약점 발견

원문링크: http://www.boannews.com/media/view.asp?idx=16888&kind=0

  XSS Filename Injection공격이란  웹서버에  파일 업로드사   확장자와 파일형식만 검사를 하고   파일명은  검사하지 않는  취약점을 이용하여  파일이름을 XSS구문으로 생성하여  공격하는 기법이라고 합니다.

  이오링크(대표 조영철 http://www.piolink.co.kr/)는 파일이름을 스크립트 구문으로 작성하여 업로드 된 게시물을 읽으면 해당 스크립트가 실행되는 취약점을 발견하였다고 발표하였습니다.  새로운 공격기법인 XSS 파일명 인젝션(XSS Filename Injection)은 어떠한 웹서버도 공격할 수 있으며, 발생 위험도도 ‘상’이라고 합니다.   또한 해당 취약점에 노출되면 악성코드가 삽입되어 사용자 및 관리자 계정 탈취 등의 피해를 입을 수 있다고 합니다. 이 취약점은 특정 제품이나 프로그램과 무관하며, 브라우저에서 웹페이지를 보여 줄 때 사용되는 html 취약점을 이용한 것이기 때문에 더욱더 주의가 요구된다고 합니다.

  존의 웹 애플리케이션이나 웹방화벽의 경우 일반적으로 업로드 파일에 대하여 확장자 및 파일 형식만 검사를 하고 파일 이름에 악성코드(XSS, SQL Injection, CSRF)가 있는지 검사 하지 않습니다. XSS Filename Injection은 파일을 업로드 시, 파일 이름을 검사하지 않는 것을 이용한 우회 방법으로 파일 이름을 XSS 구문으로 생성하여 공격하는 기법이며, 해당 취약점을 이용한 공격을 차단하기 위해서는 업로드 파일 이름 전체를 검사하는 방식으로 바꾸어야 한다고 합니다.

  공격예:
  업로드 파일이름을 XSS이름으로 생셩합니다.  
  EX)   ><script src=exploit.js>.jpg

 파이오링크 사이트에 가시면 PDF로 된 관련문서를 다운로드 받으실수있습니다. (회원가입해야 다운로드 ㅠㅠ)
 파일이름: XSS Filename Injection.pdf