컴퓨터2008.12.03 11:16

웹해킹,

요즘 발생하는 웹해킹은 웹서버의 보안이 강화(?)되고 있기때문에 직접 파일을 올려서 서버상의 페이지 변조등의 다양한(?) 작업을 하기보다 단순히 스크립트만을 삽입하는 형태가 대세인듯합니다. 특별히 대세가 아니라 파일업로드가 어려워지자 스크립트만 삽입하는게 시간대비 성공률이 월등히 높아서 일수도 있습니다. 파일 업로드를 막는 방법에서도 알수 있듯이 간단합니다. 추가적으로 파일 업로드를 하면서 웹쉘을 막는 더 좋은 방법도 있습니다.

스크립트만 삽입하는 방식은 웹쉘을 올릴필요도 없고 달랑 한줄짜리의 웹사이트 접속로그를 만들면서 원하는 작업을 할수 있기때문에 가장 선호하는 방법이 된것인지도 모릅니다. 가장 선호하는 만큼 가장 경계를 해야할 대상입니다.

다음은 웹서핑중 찾은 webknight  로그 입니다.

2008-12-02 ; 21:24:21 ; W3SVC3 ; OnUrlMap ; 58.141.20.15 ;  ; www.*********.com ; /new/gi/introd/view.asp ; D:\********\new\gi\introd\view.asp ; num=87&pageno=1&startpage=1&keyfield=process&keyword=%c2%f7%20AnD%20(sElEcT%20ChAr(94)%2BcAsT(CoUnT(1)%20aS%20VaRcHaR(100))%2bChAr(94)%20fRoM%20[mAsTeR]..[sYsDaTaBaSeS])>0 ; BLOCKED: Possible SQL injection in querystring
2008-12-02 ; 21:24:21 ; W3SVC3 ; OnUrlMap ; 58.141.20.15 ;  ; www.*********.com ; /new/gi/introd/view.asp ; D:\********\new\gi\introd\view.asp ; num=87&pageno=1&startpage=1&keyfield=process&keyword=%c2%f7'%20AnD%20(sElEcT%20ChAr(94)%2BcAsT(CoUnT(1)%20aS%20VaRcHaR(100))%2bChAr(94)%20fRoM%20[mAsTeR]..[sYsDaTaBaSeS])>0%20AnD%20''=' ; BLOCKED: Possible SQL injection in querystring

위 로그에서 한개의 쿼리 단어만 막으면 막히는 간단한 웹해킹 로그입니다.

정답은 case, char( 입니다.

webknight 가 정규식을 지원하지 않는 관계로 엄청 많은 룰을 입력해야 합니다. nice19님이 테스트하신 부분 이 있으니 참고하시기 바랍니다.

 

Posted by Zasfe
보안글2008.10.31 18:11

요즘 많은 분들이 MASS SQL Injection 으로 피해를 보고 있는것 같습니다. 필자도 물론 예외는 아니였습니다.
지금에야 '쿠키를 이용한 인젝션공격이였습니다' 라고 이야기를 하지만 얼마전까지만해도 스크립트가 추가된 구문을 볼때마다 필자가 관리하는 서버를 사용하는 분들에게 송구스러운 마음이 참 많았습니다.

예전부터 심심치 않게 SQL Injection 을 이용한 스크립트 삽입공격은 있었습니다.
쿼리스트링에 추가하여서 공격하는 수준이였기때문에 웹나이트(Webknight) 문법으로 전부 막아내는 쿼거(?)도 이루었던 적도 있습니다.

이렇게 자만하다 큰코다친겁니다.  제가 관리하는 몇개의 사이트가 스크립트가 추가되는 사례가 발견되더니 잊을만 하면 한번씩 스크립트가 추가되는 현상을 발견하게 되었고, 쇼핑몰같은 경우는 데이터베이스를 복구할수도 없는 그런 상황까지 겪게 되었습니다.

"목마른 사람이 우물을 판다"고 했던가요..
일단 삽입이 되도록 하는 구문을 분석하여서 이를 바탕으로 스크립트만 삭제하는 구문을 작성하려고 하였습니다. char, nchar, varchar, nvarchar 는 너무 쉽게 변경이 가능했지만 문제는 text, ntext 같은 대용량의 유니코드 형식의 데이터에서 스크립트를 삭제하는 부분이였습니다.

몇몇 다른 분들의 경우 text 타입을 varchar(8000) 으로 변환하고 이를 수정하는 방법을 선택하셨습니다.
이 방법도 좋은 방법입니다. 쿼리만으로 작업을 진행할수도 있고, 일단 SQL 쿼리를 구하기가 쉬웠습니다. ( SQL 쿼리를 공개해주신 분들 감사합니다.)

그래도 문제는 발생하였습니다. 문자열을 신문을 집어 넣은건지 상당히 큰 text 타입의 데이터를 만나버리고 말았던 것이였습니다.
결국 VBScript 를 이용해서 다시 작업을 하도록 변경하였습니다. (사실 SQL 쿼리 수정보다 VBScript가 더 쉽게 생각되었습니다.;)

이래서 탄생한 Replace_string_in_mssql.vbs 입니다.

열기


내용은 무척 간단합니다. 컬럼중에 text, ntext, varchar, char, nvarchar, nchar 에 해당하는 것들에 대해서 "<script" 라는 구문이 포함되어 있으면 삭제작업을 하는 것으로 text, ntext 타입에 대해서만 특별히 ado를 이용해서 처리하였습니다.


PS) 덕분에 웹방화벽인 웹나이트(webknight) 버젼업그레이드와 룰셋의 추가 작업에 매진(?) 하는 기간이 되었습니다. 계속되고 있습니다.

수정1. 컬럼명이 [컬럼명] 과 같은형식의 컬럼도 처리하도록 수정.
수정2. 내용이 없는 항목에 대한 구문오류 우회토록 수정.
Posted by Zasfe
컴퓨터2008.10.22 16:35

웹나이트가 2.2 로 업데이트 되었습니다.

이번 버젼의 특징은 다음과 같습니다.
- IIS7 지원과 64bit 지원
- 레퍼러(referrer)의 SQL 인젝션(injection) 체크
- 내부 실행프로그램 업데이트

  • 설정프로그램(Config.exe, 1.3 -> 1.4 )
  • 로그리더프로그램(LogAnalysis.exe, 1.1 -> 1.2)

다운로드페이지 [http://www.aqtronix.com/?PageID=99]

이제는 Windows server 2008 에서도 사용이 가능할듯합니다. 모듈형태로 추가가 가능할듯하며, 조만간 윈도우 웹서버의 기본 웹방화벽으로 자리 잡을것 같습니다.
( 이런 무료프로그램이 많았으면 좋겠습니다. ^-^)

Posted by Zasfe
컴퓨터2008.09.09 14:29

다음 구문은 Scripting.FileSystemObject 를 이용해서 하위폴더를 포함한 특정 디렉토리내의 특정패턴을 가진 파일명을 가진 파일을 기준으로 특정코드를 추가하는 스크립트 입니다.

소스 열기..

Scripting.FileSystemObject 라는 개체를 이용하는 방법을 사용합니다.
웹사이트에서는 주로 파일에 대한 정보를 가져올때나, 실제 파일이 있는지를 체크하는 방법으로 많이 사용됩니다.

참고 : [MS기술문서] ASP 페이지에서 텍스트 파일을 조작하는 방법

윈도우서버에서 내장되어 있는 것이고, 웹사이트내에서 파일을 연결하는 부분에 제약이 발생하기때문에 이를 제거할수도 없습니다.

위와 같은 파일변조를 막는 방법은 웹소스의 변경 권한을 제거하는 방법뿐입니다.

사용자 삽입 이미지

Posted by Zasfe
컴퓨터2008.09.07 12:33

웹방화벽 웹나이트(WebKnight)가 2.2 로 패치되어서 배포를 시작했습니다.

사이트내 설명 WebKnight 2.2 (Release date: 2008.09.02)
This release is ready for IIS 7 and 64-bit. Fixed a few minor issues and extended scanning for SQL injection in the referrer, extended cookie scanning and certain XSS attacks. It is now also possible to monitor or block an IP address after an alert has been triggered. A new version of the config utility, log reader application and updated robots database is also included in this release.

일단 정리를 좀해보면 다음과 같습니다.
  1. IIS7지원(2008 서버에서도 사용이 가능), 64bit 지원
  2. 작은 버그에 대한 수정되었음.
  3. 레퍼러(referrer)와 쿠키(cookie), XSS 에 대한 의 SQL 인젝션(Injection) 역시 탐지하도록 수정되었음.
  4. config도구와 log reader 프로그램, robot 목록이 추가되었음.


2.1 사용하시던 분들은 바로바로 업그레이드 하시기 바랍니다.
링크 : WebKnight 2.2
Posted by Zasfe