개인적으로 조금만 악용한다면 네이트온 쪽지로 퍼지는 관련 바이러스에도 응용이 가능 하리라 생각됩니다.

백신 탐지 여부는 모르겠지만, 바이러스 파일을 실행시키는 Shell 코드를 zip 파일에 삽입해논 뒤 사용자도 모르게 해당 바이러스파일이 실행되어 버리는 무시무시한 결과..

압축프로그램 개발자가 발벗고 패치하지 않는다면 해당 프로그램을 쓰는 개인으로써는 속수무책..

해결법이 간단하니 개발자들이 반드시 패치할 것입니다.

 ( 출처 : http://hkpco.kr/advisory/zip/ )

'보안 기술 자료 (D:\) > D:\> SYSTEM' 카테고리의 다른 글

CPU 레지스터 용어 정리본  (0) 2010.10.23
데프콘 18 발표자료 및 오디오 파일  (1) 2010.10.18
USB를 이용하여 전파되는 악성코드 분석  (1) 2010.10.14
.LNK 파일 0-Day 공격  (0) 2010.07.26
어셈블리어(Assemble)  (0) 2010.07.11

아마도 웹 해킹의 기초이지 않을까 하는 생각이 듭니다.

XSS 자체가 상당히 많이 알려진 취약점이라 실제로 사용되는 곳은 극히 드뭅니다. (Cookie 정보를 보기위해 사용됩니다만, Cookie를 훔쳐서 할 수 있는 일이 점점 줄어 들고 있습니다.)

많은 대책들이 나왔기 때문에 이런것도 있구나 라는 식으로 넘기셔도 될 것 같습니다.

XSS (Cross Site Scripting).pdf

'보안 기술 자료 (D:\) > D:\> WEB' 카테고리의 다른 글

디렉토리 리스팅 취약점을 이용한 게임db서버 해킹사례  (0) 2010.11.13
취약한 웹서버를 이용한 해킹 및 악성코드 삽입 사례  (0) 2010.10.13
OWASP 웹해킹 TOP 10  (0) 2010.08.21
SQL Injection  (0) 2010.07.05
XST(Cross Site Tracing)  (0) 2010.06.19

Trace HTTP Method 를 이용한 공격입니다. XST라 불리는 이 공격기법은 XSS와 매우 유사하기 때문에, XSS 하셨던 분들은 쉽게 배우실 수 있습니다.

쿠키 값을 따는데 주로 사용됩니다만, 요즘은 쿠키로 할 수 있는게 별로 없지요. 그런데 Trace 를 Allow 상태인 서버들이 OPTIONS Method 로 많이 있다는 것을 확인 할 수 있습니다.

많은 곳이 취약하다고 말 할 수 있겠네요.

WH-WhitePaper_XST_ebook.pdf



'보안 기술 자료 (D:\) > D:\> WEB' 카테고리의 다른 글

디렉토리 리스팅 취약점을 이용한 게임db서버 해킹사례  (0) 2010.11.13
취약한 웹서버를 이용한 해킹 및 악성코드 삽입 사례  (0) 2010.10.13
OWASP 웹해킹 TOP 10  (0) 2010.08.21
SQL Injection  (0) 2010.07.05
XSS(Cross-Site Scripting)  (0) 2010.06.22

+ Recent posts

티스토리툴바