보안 썸네일형 리스트형 2011 중고생 해킹방어대회 문제 1 풀이과정 오늘 네이트온을 들어가니 평소 알고지내던 한 분이 해킹대회 문제를 줄라고 모아놨단다... ㅡㅡ;; 왜 주지? ㅋㅋ 무튼 일단 풀어봤는데... 내가 예전 대회 문제를 못봐서 그런지 이번 대회는 그렇게 수준이 높은거 같지 않았다. 일단 풀어보자!! 처음에 아래와 같은 파일이 하나 주어졌다고 한다. 처음보는 확장자인데 일단은 뭐가 없나 워드패드로도 열어보고 했는데 아래와 같은 글자밖에 얻지 못했다. 뭔가 있어 보이지 않는가??? 그렇다. 저건 저 파일안에 들어있는 파일 이름이다. 대부분 압축파일을 메모장으로 열어보면 저런형식으로 파일내용을 볼수있다. 한번 테스트 해보기 바란다. 아래처럼 아무거나 압축하고 확장자를 바꾼후 메모장으로 열면 보일것이다. 자 이제 해당 문제파일을 .zip 확장자로 바꿔서 열어보자!!.. 더보기 네이트 메일 XSS 취약점 네이트 메일에 XSS 취약점을 발견 했다. 그누보드 CSRF 취약점을 보고 급 관심이 생겨 이러저리 테스트 해보던 도중에 발견 하였다. 기본적으로 쿠키를 탈취해 다른 사용자로 임의로 로그인 할 수 있지만 네이트는 쿠키구조상 그렇게 되지 못하게 해두었다. 물론 연구하고 또 연구하면 풀릴 부분이지만 지금으로서는 쿠키로그인 말고 다른 악성코드등을 삽입하여 사용자 자체에게 피해를 주는 공격쪽이 더 어울리는 XSS 취약점이다. 더군다나 위 사진과 같이 메일 미리보기 서비스가 있어 최신글에 XSS 악성코드가 삽입되어 있다면 클릭하지 않아도 XSS 코드가 실행될 수 있다는 단점이 있어 더 주의가 요구 되는 부분이다. 더보기 Technote 7 취약점 exploitDB에 공개 취약점을 찾은지는 한참 되었다. 하지만 내 신분이 군인이기도 하고 주변에 취약점을 찾아 알려줬을 때 상대측에서 강경하게 나와 곤욕을 치르는 분들을 여럿 보아 취약점 공개를 꺼렸다. Technote(이하 테크노트) 개발사에도 이 취약점이 있다고 알렸다. 근데, 응답이 온건 3일이나 뒤였다. 내가 공개한지 하루 뒤에 온 것이다. 공개 할때도 exploit만 보고 무자비로 공격하는 스크립트 키드들에 의해 사고가 안나게 데모 exploit등은 올리지 않았다. 현재 이 취약점은 테크노트 사에 모든 버전(쇼핑몰 버전도 해당)에 해당하며 무료, 상용 소프트웨어에도 영향을 미치는 취약점이다. 만약 이 취약점이 블랙해커에게 들어가 악용된다면 테크노트를 사용하는 모든 회사가 공격당할 수 있으며, 프로그램을 만들어 테크노트.. 더보기 이전 1 2 다음
