[+] Hacking/[-] Vul Report 썸네일형 리스트형 CoDeSys SCADA v2.3 Remote Exploit CoDeSys 라는 스카다 웹서버에 Remote BufferOverflow Exploit이 공개 되었습니다. 흠.. 근데 어떻게 일반인이 SCADA 시스템을 연구할 수 있는건지 궁금하네요... 데모 프로그램이 있나 -_-?? 관련 URL : http://www.exploit-db.com/exploits/18187/ 더보기 네이트 메일 XSS 취약점 네이트 메일에 XSS 취약점을 발견 했다. 그누보드 CSRF 취약점을 보고 급 관심이 생겨 이러저리 테스트 해보던 도중에 발견 하였다. 기본적으로 쿠키를 탈취해 다른 사용자로 임의로 로그인 할 수 있지만 네이트는 쿠키구조상 그렇게 되지 못하게 해두었다. 물론 연구하고 또 연구하면 풀릴 부분이지만 지금으로서는 쿠키로그인 말고 다른 악성코드등을 삽입하여 사용자 자체에게 피해를 주는 공격쪽이 더 어울리는 XSS 취약점이다. 더군다나 위 사진과 같이 메일 미리보기 서비스가 있어 최신글에 XSS 악성코드가 삽입되어 있다면 클릭하지 않아도 XSS 코드가 실행될 수 있다는 단점이 있어 더 주의가 요구 되는 부분이다. 더보기 Technote 7 취약점 exploitDB에 공개 취약점을 찾은지는 한참 되었다. 하지만 내 신분이 군인이기도 하고 주변에 취약점을 찾아 알려줬을 때 상대측에서 강경하게 나와 곤욕을 치르는 분들을 여럿 보아 취약점 공개를 꺼렸다. Technote(이하 테크노트) 개발사에도 이 취약점이 있다고 알렸다. 근데, 응답이 온건 3일이나 뒤였다. 내가 공개한지 하루 뒤에 온 것이다. 공개 할때도 exploit만 보고 무자비로 공격하는 스크립트 키드들에 의해 사고가 안나게 데모 exploit등은 올리지 않았다. 현재 이 취약점은 테크노트 사에 모든 버전(쇼핑몰 버전도 해당)에 해당하며 무료, 상용 소프트웨어에도 영향을 미치는 취약점이다. 만약 이 취약점이 블랙해커에게 들어가 악용된다면 테크노트를 사용하는 모든 회사가 공격당할 수 있으며, 프로그램을 만들어 테크노트.. 더보기 싸이월드 빠이빠이 될지도.. ^^??(수정) 많이 공격당해서 어느정도 패치를 한줄 알았는데 아직도 먹히는 곳이 있네요 XSS~ 잘하면 또 유행하겠습니다 ..;;;; 지금도 유행 하고 있으려나 ;;; 본 이미지는 테스트용도로 캡쳐한 것이며 실제 본인 미니홈피에는 아무런 글도 없습니다. 취약점은 공개하지 않습니다. 그렇기에 이미지에도 취약주소는 지웠구요. 지인분들께도 직접적으로 가르쳐드리기에는 조금 뭐하네요.. ㅎㅎㅎ 지인분들은 저보다 다들 잘하셔서 금방 찾으실거라 믿어요 ㅎㅎ 패치안하시면 2천만명의 개인정보, 사생활은 빠이빠이 입니다. 문제가 된다면 바로 삭제하겠습니다. (__) p.s - 티스토리도 구상해놓은게 있는데 데탑에 툴이 없네 제길.. ㅠㅠ 공개 해 두겠습니다. 이로 인해 하루 빨리 패치가 되길 바랍니다. 더보기 그누보드 취약점. 아.. 이걸 쓴지가 09년도 여름방학 때 인데.. 그렇게 막 많이 지난 것도 아닌데 지금 보니 되게 못썼네요 ㅎ 그누보드 측에 보내려고 했는데 그누보드 관리자 메일을 모르겠더라구요. 그래서 하드에 보관하고 있었는데 그냥 올릴려구요 ㅋㅋ;; 처음 작성한 문서이고 처음 분석한 웹 어플이라 서투른 부분이나 코드분석이 잘 못 되었을 수도 있습니다. 그냥 이런게 있었구나 라고만 봐주세요 ㅋㅋ;; p.s - 해당 취약점이 패치가 되었는지 안 되었는지는 아직 모릅니다. 고로 이 취약점을 악용하여 발생한 상황은 글쓴이의 책임이 아닌 본인에게 있음을 명심하세요. 아 참, 문제가 된다면 바로 지울테니 그누보드 관리자분은 연락주세요. 더보기 이전 1 2 3 다음
