어도비 플래시 새로운 제로데이 취약점

  보안패치라고 하면  윈도우 보안패치만 연상하는 경우가 많습니다.  하지만 요즘은  OS 자체의 취약점보다  응용프로그램의 취약점을 노리는 경우가 늘고 있습니다.  어도비의 플래시같은 경우  웹에 있어서 필수불가결한 요소가 될 정도로 많은 사람이 광범위하게 사용하고 있지요..  당연히 해커입장에선  좋은 공격목표가 되겠지요.  플래시외에도  MS 오피스제품들도 자주 공격목표가 되고 있습니다.   최근 어도비 플래시에 새로운 제로데이 취약점이 발견되었다고 합니다.

원문참조:  http://www.boannews.com/media/view.asp?idx=17238&skind=D

Adobe Product Security Incident Response Team 블로그  : http://blogs.adobe.com/psirt/

어도비 시스템즈(Adobe Systems Inc.)는 제품 보안사건 대응팀(Adobe Product Security Incident Response Team) 블로그를 통해 “플래시 에러가 어도비 리더(Adobe Reader) 및 아크로뱃(Acrobat) 9.1.2와 어도비 플래시 플레이어(Adobe Flash Player) 버전 9, 10에 잠재적으로 영향을 끼칠 수 있다”고 짤막하게 언급했다. 또한 “현재 이 문제를 조사하고 있으며 더 많은 정보를 얻는 대로 업데이트 할 것”이라고 덧붙였다.
사용자 삽입 이미지
  이와 관련해 시만텍(Symantec Corp.)의 보안 연구자 패트릭 피츠제럴드(Patrick Fitzgerald)는 지난 22일(현지 시간) 시만텍 보안 블로그를 통해 “시만텍 보안대응 연구자들이 최근 어떤 어도비 아크로뱃 PDF 파일을 조사한 결과 이것이 어도비 플래시 취약점을 익스플로이트하고 이용자의 시스템에 트로잔을 잠입시켜 실행하는 것을 발견했다”고 전했다.  이어 “이 PDF 파일의 작성자는 힙 스프레이 기법을 이용했다”며 “대개 공격자는 이용자를 속여 악성 웹사이트를 방문하게 하거나 이메일을 통해 악성 PDF를 발송한다. 만일 의심 없는 이용자가 이러한 웹사이트를 방문하거나 PDF 파일을 열면 이 익스플로이트로 피해자의 컴퓨터에 맬웨어가 설치될 수 있다”고 설명했다. 또한 이들 악성 PDF 파일은 Trojan.Pidief.G로 탐지된다고 피츠제럴드는 전했다.

US-CERT는 어도비 이용자들에게 어도비 보안대응팀의 블로그를 확인하고 추가적인 정보가 있기 전까지 다음과 같이 대처할 것을 권장했다.

 “%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll”,
 “%ProgramFiles%\Adobe\Reader 9.0\Reader\rt3d.dll”  
 –> 파일들의 이름을 변경해 윈도우 플랫폼의 어도비 리더9의 플래시 비활성화.
플래시 플레이어의 비활성화 또는 보안 권장사항을 참조해 플래시 컨텐츠의 선택적 활성화.

원문: http://www.us-cert.gov/current/#adobe_reader_acrobat_and_flash 
US cert의 좀더 자세한 취약성소개글  << Vulnerability Note VU#259425 >>
  Adobe has released a security advisory to address a vulnerability in Adobe Reader and Acrobat 9.1.2 and Flash Player 9 and 10. This vulnerability may allow a remote, unauthenticated attacker to execute arbitrary code or cause a denial-of-service condition.  US-CERT encourages users and administrators to review the security advisory and implement the following workarounds until a fix is available:

  • Disable Flash in Adobe Reader 9 on Windows platforms by renaming the following files: “%ProgramFiles%\Adobe\Reader 9.0\Reader\authplay.dll” and “%ProgramFiles%\Adobe\Reader 9.0\Reader\rt3d.dll”.

  • Disable Flash Player or selectively enable Flash content as described in the Securing Your Web Browser Document.
Additional information regarding this vulnerability can be found in Technical Cyber Security Alert TA09-204A.

원격서버에 연결된 터미널 세션 로그오프시키는 커맨드

어딘가에서 보고 적어두었는데 다시 찾으려니 못찾겠네요.. 원문링크를 해야하는데.. ㅠㅠ
커맨드를 통해 간편하게 원격서버에 연결된 터미널세션을 확인하고 로그오프 시킬수있습니다.
물론 관리자 권한이 있을 경우에 그렇게 할 수있습니다.

원격서버에 연결된 세션확인
C:> query session /server:192.168.100.1
연결된 세션 disconnet하기 : tsdiscon [세션ID] /server:[서버IP]
C:> tsdiscon 1 /server:192.168.100.1
연결된 세션 로그오프시키기: logoff [세션ID] /SERVER:[서버IP] /v 
C:> logoff 1 /SERVER:192.168.100.1 /v

2009-07 MS 보안패치 요약입니다.

  7월 Microsoft 보안패치가 발표되었습니다.  이번에도  긴급이 많습니다.  6개 모두 리부팅이 필요하구요..     하나같이  원격코드를 실행할수있다고 하는 군요..   ㅠㅠ      상위 3개 패치는 서두르셔야 할 것 같습니다.   얼마전 발생했던 Ddos바이러스가 이용했던  제로데이 취약점에 관한 패치도 포함되어 있습니다.  MS09-032    서버군에 대한 패치는 이번달엔 상대적으로 작다고 볼수있겠네요…

2009년 7월 패치:   총 6개:   긴급 / 재시작: 3개   중요 / 재시작: 3개

긴급  ▲ , 중요 △ ,보통 ▽ , 재시작 ◐    배열순서는 심각도 순입니다.
MS09-029    Embedded OpenType 글꼴 엔진의 취약점으로 인한 원격 코드 실행 (961371) 

     이 보안 업데이트는 Microsoft Windows 구성 요소인 EOT(Embedded OpenType) 글꼴 엔진에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. Embedded OpenType 글꼴이란  웹페이지등에서 기본 글꼴외에도 추가적인 글꼴을 지원할 수있도록 하는 기술입니다이 취약점으로 인해 원격 코드 실행이 발생할 수 있습니다. 이러한 취약점 두 가지 중 하나를 성공적으로 악용한 공격자는 영향을 받는 시스템을 원격으로 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.  

MS09-028    Microsoft DirectShow의 취약점으로 인한 원격 코드 실행 문제점 (971633) 

     이 보안 업데이트는 Microsoft DirectShow의 공개된 취약점 1건과 비공개로 보고된 취약점 2건을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 QuickTime 미디어 파일을 열 경우 원격 코드 실행이 발생할 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다.


MS09-032   ActiveX 킬(Kill) 비트 누적 보안 업데이트 (973346) 

     이 보안 업데이트는 Microsoft Video ActiveX 컨트롤(msvidctl.dll)의 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점으로 인해 사용자가 Internet Explorer를 사용하여 ActiveX 컨트롤을 사용하는 특수하게 조작된 웹 페이지를 볼 경우 격 코드 실행이 발생할 수 있습니다.  

MS09-033    Virtual PC 및 Virtual Server의 취약점으로 인한 권한 상승 (969856)  

    이 보안 업데이트는 Microsoft Virtual PC 및 Microsoft Virtual Server의 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점 악용에 성공한 공격자는 임의 코드를 실행하여 영향을 받는 게스트 운영 체제를 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다   요즘은 virtualpc를 쓰시는 분들이 많으니 중요하다고 할 수 있겠습니다.

MS09-031    Microsoft ISA Server 2006의 취약점으로 인한 권한 상승 (970953)  

     이 보안 업데이트는 비공개적으로 보고된 Microsoft ISA(Internet Security and Acceleration) Server 2006의 취약점 1건을 해결합니다. 이 취약점으로 인해 공격자가 Kerberos 제한 위임과 함께 Radius OTP(일회용 암호) 인증 및 인증 위임을 사용하도록 구성된 ISA 서버의 관리 사용자 계정을 성공적으로 가장할 경우 권한 상승이 발생할 수 있습니다. 이 부분은 대부분의 회사엔 필요가 없겠네요.. ^^  ISA를 사용하는 곳이 적을 뿐더라 OTP인증을 함께 쓰는곳은 극히 적을테니까요…

MS09-030    Microsoft Publisher의 취약점으로 인한 원격 코드 실행 (969516)   

     이 보안 업데이트는 비공개적으로 보고된 취약점 1건을 해결합니다. 사용자가 특수하게 조작된 Publisher 파일을 열면 이 Microsoft Office Publisher 취약점을 통해 원격 코드 실행이 허용될 수 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다  

MS Office Zero-Day 공격주의보

원문출처: http://www.boannews.com/media/view.asp?idx=17088&kind=1 

 
  2009년 7월 13일 마이크로소프트에서 신규 제로데이(Zero-Day) 보안 취약점을 발표했습니다.  잉카 인터넷 시큐리티 대응센터(ISARC)의 보안 관제 상황에 따르면 중국내 특정 사이트들을 중심으로 금번 신규 취약점 공격 보고가 다수 발견되고 있으며, 국내로 공격 방식이 유입될 가능성이 높다고 예측되고 있어 인터넷 사용자들의 각별한 주의가 요망되고 있는 실정입니다.
  MS의 7월 정기 보안 업데이트 발표가 얼마 남지 않은 임박한 시점에 발견되기 시작한 Zero-Day 취약점 공격이기 때문에 해당 문제를 해결할 수 있는 패치 프로그램은 다음 정기 보안 업데이트 일정에 따라 배포될 가능성이 높다고 합니다.  이런 경우  MS에서는 대개 응급조치법을 제공하는데요..   공식적으로는 권장하지 않습니다.  문제가 생긴 곳에서는 적용해보라고 식이죠.. ^^
  여기 있는 Fix it은  향후 정식 패치가 나오게 되면  Rollback을 해야 한다고 하니  널리 배포하지 않는 것이 좋습니다.
Roll back파일은 위 링크에서 함께 제공됩니다.

[Trend Officescan] TMCM를 이용하여 업데이트하기

  인터넷에 접속되지않거나  기존에 트렌드에서 제공하는 active update서버에 접속이 되지않는 경우 TMCM을 이용하여  최신 버전으로 업데이트가 가능합니다.  네트웍 구조에 따라서 피치못하게  Trend active update서버에서 업데이트를 할 수 없는 경우  아래 방법을 사용하시면 되겠습니다.

Officescan 업데이트 서버 주소: http://osce8-p.activeupdate.trendmicro.com/activeupdate

TMCM 업데이트 주소http://TMCM_server_IP_address:8080/controlmanager/download/activeupdate/

트렌드에서 제공하는 Active Update 링크에서  TMCM서버의 업데이트 링크로 바꾸기
1. 웹콘솔에서 Update / Server / Update source 메뉴로 이동
2. Other update source 선택하고   TMCM업데이트 링크를 입력한다.
3. 저장하고 나온다.  ^^사용자 삽입 이미지

AD그룹정책을 이용하여 사내pc에서 웜파일 실행을 차단하기

  이 글은 ActiveDirectory가 구축된 회사에서  웜 확산을 초기에 막는데  도움이 됩니다. ^^  ActiveDirectory는 비용이 별로 들지않으면서  회사내의 수많은 시스템을 효과적으로 관리할수있는 좋은 인프라라고 할 수있습니다.  저희 회사에선 AD를 사용하고 있는 중이구요..    AD인프라를 사용하는 회사가 늘어나고 있으므로   이런 회사들에 있어서 초기에 웜 확산을 저지하는데  사용할 수있는 소프트웨어 차단 정책을 소개합니다.  이 정책을 이용하면  한번의 작업으로  회사내의 모든 PC에서  지정한 웜파일의 실행을  차단할 수 있습니다.

1. AD 관리툴인 “Active Directory 사용자및 컴퓨터”를 실행합니다. (명령: dsa.msc)
    – 차단하고자 하는 PC OU에 마우스를 올리고 우클릭 합니다.
    – 등록정보창에서  Group Policy 탭으로 이동한후  Open을 클릭합니다.
    – 그룹정책 관리를 위해 GPMC를 설치할 것을 강력히 권합니다.
       GPMC 다운로드 받기 <<jaewook.net의 포스팅 >>  << MS에서 다운로드받기 >>사용자 삽입 이미지
2. GPMC를 이용에서  파일 실행 제한을 위한 그룹정책을 만들어보겠습니다.
    – 원하는 PC OU에 마우스 커서를 위치한후 마우스 우클릭하여 메뉴를 나타나게합니다.
    – Create and Link a GPO Here..를 클릭합니다.
사용자 삽입 이미지
3. Policy_restriced_SW라는 이름의 정책을 만듭니다.
    – 만들어진 정책에 마우스를 올린후  Edit 클릭
사용자 삽입 이미지
4. 그룹정책 개체 편집기를 이용하여  새 소프트웨어 제한 정책을 만듭니다.
   – 컴퓨터구성/ Windows 설정/ 보안설정 / 소프트웨어 제한정책 트리로 이동합니다.
   – 팝업메뉴에서 새 소프트웨어 제한 정책을 클릭합니다.사용자 삽입 이미지
5. 새 경로규칙 만들기를 선택하여  차단하고자 하는 파일 정보를 입력합니다.
    – 웜이 사용하는 주 실행 프로세스들을 입력해줍니다.
    – 20090707 발생한 Mydoom 계열의 Ddos바이러스가 이용하는 실행파일들은 아래와 같습니다.
       msiexec2.exe ,  msiexec1.exe 사용자 삽입 이미지
사용자 삽입 이미지
자 이제 모든 창을 닫고 나오면 되겠습니다.

▶ 주의사항
1. 테스트 필요
  이런 실행차단 정책은 사전에  테스트가 필수입니다.  잘못입력하여 정상파일을 차단하기라도 하면 큰일입니다.
처음엔 테스트OU에서만 적용하여 정상 작동을 확인한 후  전체 AD에 적용해야합니다.
2. 배포시간 고려
  AD의 인프라를 이용하기 때문에 배포하는데 약간의 시간이 걸립니다. 시간상으로 10-30분 정도가 소요되고  이 정책을 적용받으려면  실제적으론 PC가 리부팅되어야 합니다. 소프트웨어 제한 정책은 컴퓨터 계정에 적용되는 정책이기 때문에  pc가 리부팅될때 적용받을수있습니다.  회사에서 pc사용시간을 고려하면 적용되기 원하는 전날 저녁에 정책을 적용한 것이 적당하다 하겠습니다.

[DDos공격] MPEG2TuneRequest activeX 제로데이 취약점 이용 유력

관련글 출처:  http://www.boannews.com/media/view.asp?idx=16962&kind=0

  와대및 다수의 국가기관 사이트,  네이버, 옥션 등의 홈페이지가 DDoS 공격을 받아 서비스 마비현상을 보이고 있습니다.   또한 미국쪽의 다수 사이트들도 공격을  받았구요..  미국쪽의 일부 사이트쪽에선  한국이 중계지점으로 지목되어  한국으로부터 접속을 차단한 바  있다고 합니다.  공격지가 어디인지 제대로 파악이 되지않은 상태인데.. 치밀한 준비끝에 이루어졌으며 사실상  예고된 공격의 성격을 가지고 있다고 합니다.   국정원에선  북한을 배후로 지목하기도 했습니다.    어쨋든 이번의  DDoS 공격의 원인은 최근 보고된 MS의 제로데이 취약점을 노린 악성코드가 실제적인 공격수단으로  보인다고 합니다. 이번 공격은  MS의 공식 패치도 아직 발표되지 않은  상태이기때문에 더욱 더 우려되는 상태이구요..  현재 내 컴퓨터가 좀비가 되어 있지는 않은지 점검이 필요할 듯합니다.

  2009년 7월 7일 중국에서 Microsoft DirectShow (msvidctl.dll) 취약점을 이용한 Zero-Day Exploit이 출현했습니다. 

▶  전파방법 : 윈도우 취약점을 악용하여 전파되거나 홈페이지 은닉 악성코드로 전파됨
    격자는 악의적인 웹 사이트에 사용자가 접속하도록 유도하여 공격자가 심어놓은 코드 실행
 – 취약점 내역: TV 튜너 지원을 제공하는데 사용되는 MPEG2TuneReuqest ActiveX 컨트롤 취약점,
 – 관련 CVE : CVE-2008-0015 [5]

▶  악성코드 공격특성  

   격을 수행한 악성코드는 파일명 msiexec2.exe(파일길이 : 33,841 바이트)’으로   이 파일은 실행될 때 uregvs.nls 파일을 생성하고 EXE 파일에는 코드 내부에 공격 리스트를 담고 있음.
  실제 공격을 수행하는 파일은 DLL 파일로 현재까지 perfvwr.dll(파일 길이 : 65,536 바이트) wmiconf.dll(파일 길이 : 67,072 바이트) 2개의 파일이 발견됐으며, DLL 파일은 공격할  리스트를 읽어 들여 해당 사이트로 공격함

▶  감염후 증상
 
 염된 PC를 좀비컴퓨터로 만들어 분산서비스공격(DDoS)를 수행. 악성코드가 만들어내는 트래픽은 한 PC에서 초당 1,050 패킷으로 100 킬로 바이트 정도 발생

▶  대응방법
  1) 응급패치 실시:  MS공식 패치는 아닙니다.
        (주) NSHC보안연구소에선 관련된 임시보안패치를 배포중입니다. 하지만  기존의 동영상서비스 이용에 문제가 발생할 수 도 있으니 안전이 더 우선시되는 곳에서만 배포하라고 권하고 있던군요…  
배포 URL: http://www.nshc.net/bbs.php?table=sub_nshc_04_01&query=view&uid=626 

  2) Outbreak Prevention 실시
      실행파일에 대한  쓰기 금지 또는 실행차단을 할 것
      msiexec1.exe  msiexec2.exe  msiexec3.exe  wmcfg.exe  wversion.exe
      perfvwr.dll  wmiconf.dll   uregvs.nls

▶  악성코드에 포함된 공격사이트 리스트

국내 사이트
http://www.president.go.kr/ (청와대), http://www.mnd.go.kr/ (국방부), http://www.mofat.go.kr/ (외교통상부), http://www.assembly.go.kr/ (대한민국 국회), http://www.usfk.mil/ (주한 미군), blog.naver.com (네이버 블로그), mail.naver.com (네이버 메일), banking.nonghyup.com (농협 인터넷 뱅킹), ezbank.shinhan.com (신한은행 인터넷 뱅킹), ebank.keb.co.kr (외환은행 인터넷 뱅킹), http://www.hannara.or.kr/ (한나라당), http://www.chosun.com/ (조선일보), http://www.auction.co.kr/ (옥션)

미국 사이트
http://www.whitehouse.gov/, http://www.faa.gov/, http://www.dhs.gov/, http://www.state.gov/, http://www.voanews.com/, http://www.defenselink.mil/, http://www.nyse.com/, http://www.nasdaq.com/, finance.yahoo.com, http://www.usauctionslive.com/, http://www.usbank.com/, http://www.washingtonpost.com/, http://www.ustreas.gov/ 

[백신운영] Malisa.H 바이러스와 Outbreak Prevention설정

  많은 바이러스가 쏟아져 나오지만  백신은 바이러스들을 잘 처리 못하는 경우가 많습니다.  특정 파일네임을 공유폴더내에 쓰기시도하는 것으로  공격을 시작하는 경우  Outbreak prevention설정은 매우 유용한 방어 수단이 될 수있습니다.

   제로 며칠전에 WORM_MALISA.H 란 바이러스가  공격이 들어온 적이 있었는데요..
공유폴더상에 위치한 몇개의 파일들을 쓰기 시도하는 것을 볼수있었습니다.

WORM_MALISA.H 바이러스의 고약한 동작 방식은 이랬습니다.
1. 먼저 아래의 보이는 파일들을  공유폴더상에 만들어냅니다.
   이런 파일들을 쓰면서  공격이 시작되더군요…
  c:\autoply.exe
  %AppData%\usrinit.exe
  %LocalSettings%\startup.exe
  %Temp%\systray.exe
  %ProgramFiles%\Common Files\AdobeUpdate.exe
  %ProgramFiles%\XPCode\SexGame.exe
  %ProgramFiles%\XPCode\SexGameList.pif
  %ProgramFiles%\XPCode\
SexScreenSaver.scr

2. 공유폴더상의 기존 실행파일의 이름에 lib라는 문자를 추가하여  rename시킵니다.
    (aaa.exe -> aaalib.exe)  –> 이때는 백신이 동작하지 않습니다.
3. rename시키면서  해당실행파일을 숨김속성으로 바꾸어 버립니다.
    (다행히 파일 삭제는 하지않습니다)
4. 그리고 나서 바이러스 자신이  원래의 파일인양  이름을 바꾸어 들어갑니다.
   –> 이때 백신이 동작하면서 바이러스를 지우게 됩니다.
   –> 하지만 이미 일부 실행파일들은  침해를 당한 이후가 되게 됩니다.  ㅠㅠ

 바이러스 동작 특성 상  백신은 바이러스를 잘 차단하고 있는데도  서비스에 악영향을 주게 되더군요..
그래서  아예 공격이 시작되지않도록   Ountbreak Prevention 설정을 하게 되었습니다.
최초 공격이 시도되는 파일을 차단함으로서 감염확산을 막을 수 있었습니다.

 지금부터 Trend의 Officescan서버에서 outbreak prevention설정을 시작해보도록 하겠습니다.
사실 다른 백신에서도 유사한 설정을 하는 것이 가능합니다.

1. Outbreak Prevention메뉴 클릭
    참고로 이 메뉴는 해당 서버내의 모든 officescan client에게 영향을 주게 됩니다.
    영향을 잘 고려하시어 어떤 정책을 가져갈지 결정하시기 바랍니다.사용자 삽입 이미지
2. Start Outbreak Prevention 버튼 클릭사용자 삽입 이미지
3. Outbreak Prevention설정하기
    1) limit/ deny access to share foleders : 공유폴더에 쓰기 기능 차단 (주의요망)
    2) deny write access to files and folders: 폴더,파일 쓰기 차단 (추천)
        바이러스가 예상되는 파일들을 미리 이곳에 설정해두세요…  예)autorun.inf등….
   
3) break시간을 설정해주어야합니다. 기본으로 48시간입니다. 48시간후면  차단이 풀립니다.
        항상 break시간을 상기해서  예상되는 바이러스파일들을 사전에 차단하는거을 추천합니다.
    4) client에 알림설정은 하지않는 것이 좋은듯합니다. 저는 안합니다. 괜히 불안감 조성하죠.. ^^
    5) Start outbreak prevetion버튼을 누르면 그때부터 지정시간동안 차단이 됩니다.
       설정값들을 다 넣은후   마지막에 실행하면 되겠습니다.사용자 삽입 이미지4. deny write access to files and folders의 세팅사례입니다.  사용자 삽입 이미지

[XSS filename Injection 공격] XSS 신규 취약점 발견

원문링크: http://www.boannews.com/media/view.asp?idx=16888&kind=0

  XSS Filename Injection공격이란  웹서버에  파일 업로드사   확장자와 파일형식만 검사를 하고   파일명은  검사하지 않는  취약점을 이용하여  파일이름을 XSS구문으로 생성하여  공격하는 기법이라고 합니다.

  이오링크(대표 조영철 http://www.piolink.co.kr/)는 파일이름을 스크립트 구문으로 작성하여 업로드 된 게시물을 읽으면 해당 스크립트가 실행되는 취약점을 발견하였다고 발표하였습니다.  새로운 공격기법인 XSS 파일명 인젝션(XSS Filename Injection)은 어떠한 웹서버도 공격할 수 있으며, 발생 위험도도 ‘상’이라고 합니다.   또한 해당 취약점에 노출되면 악성코드가 삽입되어 사용자 및 관리자 계정 탈취 등의 피해를 입을 수 있다고 합니다. 이 취약점은 특정 제품이나 프로그램과 무관하며, 브라우저에서 웹페이지를 보여 줄 때 사용되는 html 취약점을 이용한 것이기 때문에 더욱더 주의가 요구된다고 합니다.

  존의 웹 애플리케이션이나 웹방화벽의 경우 일반적으로 업로드 파일에 대하여 확장자 및 파일 형식만 검사를 하고 파일 이름에 악성코드(XSS, SQL Injection, CSRF)가 있는지 검사 하지 않습니다. XSS Filename Injection은 파일을 업로드 시, 파일 이름을 검사하지 않는 것을 이용한 우회 방법으로 파일 이름을 XSS 구문으로 생성하여 공격하는 기법이며, 해당 취약점을 이용한 공격을 차단하기 위해서는 업로드 파일 이름 전체를 검사하는 방식으로 바꾸어야 한다고 합니다.

  공격예:
  업로드 파일이름을 XSS이름으로 생셩합니다.  
  EX)   ><script src=exploit.js>.jpg

 파이오링크 사이트에 가시면 PDF로 된 관련문서를 다운로드 받으실수있습니다. (회원가입해야 다운로드 ㅠㅠ)
 파일이름: XSS Filename Injection.pdf

USB메모리에서 갑자기 폴더가 보이지 않을때

 고객으로 부터  잘 보이던  USB메모리의 폴더가 보이지 않는다는 신고를 받았습니다.
USB가 고장난 것인지 보안때문에 막힌 것인지 확인해달라고 하더군요..^^

 바이러스 피해를 입고 난 후  USB메모리가 종종 이런 현상을 보이는것을 경험했었기 때문에..
해당 PC에 원격으로 접속해보니  USB메모리의 폴더들이 보이지 않고 있었습니다.
물론 용량은 어느정도 차지하고 있더군요..
그렇다면.. 결론은  파일은 있다…  다만 보이지 않을 뿐…

▶ 조치방법1 (일반 사용자는 이 방법으로 )
폴더옵션에서  숨김폴더와 파일이 보이도록 설정했습니다.

자 이제 Hidden모드인 폴더들이 뿌옇게   보이는군요..  다시  정상적인 폴더로 보이도록 바꾸었습니다.
바이러스는 걸려있지 않더군요..  피해의 여파가 남아있는듯 했습니다.
정상이 되었습니다.  이제부터  자유롭게 사용할 수있겠죠?

▶ 조치방법2 (고급 사용자는 이 방법으로 )  
위 과정이 귀챦게 여겨지시는 분들은  아래 커맨드를 사용하셔도 되겠습니다.
1. 실행창에서 CMD라고 치고나 후 엔터  (명령프롬프트..실행)
2. attrib -r -a -s -h w:\*.*  /s /d  엔터…