기사 : http://www.dailysecu.com/news_view.php?article_id=2099


기사가 올라왔네요 ^^(기사 작성해주신 길민권 기자님 감사드립니다 ^^)


예전에 네이버 말고도 동일 취약점으로 네이트 이메일도 적용이 가능하다는 것을 포스팅 한 적이 있습니다.


아래 링크 참고 !


http://maj3sty.tistory.com/696


오랜만에 exploit-db가 업데이트 됬네요 그 중 activeX의 BOF 취약점이 있더군요.

http://www.exploit-db.com/exploits/18538/

khuti님이 작성하신 점검 툴 입니다.

※ 악용하시면 전적으로 사용한 본인 책임 입니다.


실행하면 처음 화면은 위와 같습니다.


결과 화면 입니다.

위와 같이 나오면 인젝션이 가능 하다는 뜻 입니다.

인지 하시고 사용하시기 바랍니다. 불법적으로 쓸 시에는 위에 제시한 것과 같이 절대적으로 본인 책임임을 명심하시기 바랍니다.


http://khuti.tistory.com - 제작자 블로그

'[+] 유틸리티' 카테고리의 다른 글

Hash Script  (0) 2011.12.14
BozoCrack  (0) 2011.12.02
Technote 7 취약점 점검 툴  (2) 2011.01.03
vmware 이미지 다운받는 곳.  (3) 2009.12.07
KISA 에서 배포하는 패스워드 안정성 검증 프로그램.  (2) 2009.09.03
  1. Favicon of http://khuti.tistory.com BlogIcon khuti 2011.01.03 17:30 신고

    아.. 허접한 소스..

취약점을 찾은지는 한참 되었다.

하지만 내 신분이 군인이기도 하고 주변에 취약점을 찾아 알려줬을 때 상대측에서 강경하게 나와 곤욕을 치르는 분들을 여럿 보아 취약점 공개를 꺼렸다.

Technote(이하 테크노트) 개발사에도 이 취약점이 있다고 알렸다.

근데, 응답이 온건 3일이나 뒤였다. 내가 공개한지 하루 뒤에 온 것이다.

공개 할때도 exploit만 보고 무자비로 공격하는 스크립트 키드들에 의해 사고가 안나게 데모 exploit등은 올리지 않았다.


현재 이 취약점은 테크노트 사에 모든 버전(쇼핑몰 버전도 해당)에 해당하며 무료, 상용 소프트웨어에도 영향을 미치는 취약점이다.

만약 이 취약점이 블랙해커에게 들어가 악용된다면 테크노트를 사용하는 모든 회사가 공격당할 수 있으며, 프로그램을 만들어 테크노트 프로그램을 쓰는 홈페이지만 공격하게 할 수 도 있다.


중요한건 테크노트 회사에서 보안패치 공지를 띄어도 사용자들이 하느냐가 문제이다.

사용자들이 적극적으로 보안패치를 하도록 테크노트 회사에서 신경을 써야 하는 부분 일 것이다.



아 그리고 난 방어코드를 아직 만들지 않았다. 앞으로 만들일도 없을 것이다. 왜? 난 군인이라 머리가 굳었으니까.... ㅋㅋㅋㅋㅋㅋㅋ(자신이 없어졌음 ㅠㅠ)


http://www.exploit-db.com/exploits/15890/
  1. Favicon of https://sun2day.tistory.com BlogIcon Sun2Day 2011.01.03 16:49 신고

    군대가서 뭐하는 건가요!!
    이런거.. 저한테도 알려줘요 ㅋㅋ

  2. Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2011.01.05 18:30 신고

    테크노트 보안 패치 나왔습니다.

    http://www.technote.co.kr/php/technote1/board.php?board=notice&config=&command=body&no=56&

  3. Favicon of http://khuti.tistory.com BlogIcon khuti 2011.01.05 18:46 신고

    드뎌 패치가 나왔군요 ㅋㅋ
    미션 컴플릿!!

+ Recent posts