SQL Injection Ãë¾àÁ¡ ÀÌ¿ë...ÇÑ ¾Ç¼ºÄÚµå À¯Æ÷ ÁÖÀǺ¸!
º¯Á¶µÈ À¥ »çÀÌÆ® ÅëÇØ ARP Spoofing ¾Ç¼ºÄÚµå À¯Æ÷ ñé
±¹³» ¸¹Àº »çÀÌÆ®µéÀÌ Áö³´Þ 25ÀϺÎÅÍ SQLÀÎÁ§¼Ç Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ¾Ç¼ºÄÚµå À¯Æ÷¿¡ ¹«¹æºñ·Î ´çÇÏ°í ÀÖ´Ù´Â ¼Ò½ÄÀÌ´Ù. À̸¦ ÅëÇØ Å©·¡Ä¿´Â ARP½ºÇªÇÎ ¾Ç¼ºÄڵ带 À¯Æ÷ÇÏ°í ÀÖÀ¸¸ç ±× ÇÇÇØ°¡ Á¡Â÷ ½É°¢ÇØÁö°í ÀÖ¾î ÀÌ¿ëÀÚµéÀÇ °¢º°ÇÑ ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù.
ÀÎÅÍ³Ý º¸¾È±â¾÷ À×Ä«ÀÎÅͳÝ(´ëÇ¥ ÁÖ¿µÈì http://www.nprotect.com/) ½ÃÅ¥¸®Æ¼ ´ëÀÀ¼¾ÅÍ(ISARC)´Â Áö³ 9¿ù 25ÀÏ°æºÎÅÍ ´Ù¼öÀÇ ÀÎÅÍ³Ý »çÀÌÆ®°¡ SQLÀÎÁ§¼Ç(Injection) Ãë¾àÁ¡¿¡ ³ëÃâµÇ¾î ¾ÇÀÇÀûÀÎ ½ºÅ©¸³Æ® °ø°Ý Äڵ尡 »ðÀԵǴ Çö»óÀÌ ¹ß°ßµÇ°í ÀÖ¾î °¢º°ÇÑ ÁÖÀǸ¦ ´çºÎÇß´Ù.
¾Ç¼º ½ºÅ©¸³Æ® °ø°Ý Äڵ尡 »ðÀÔµÈ À¥ »çÀÌÆ®¸¦ ¹æ¹®ÇÏ°Ô µÇ¸é ´Ù¾çÇÑ Ãë¾àÁ¡(Multiple Exploit)Äڵ尡 Æ÷ÇÔµÈ ¸µÅ©(±¹³» °æÀ¯Áö)·Î ÀÚµ¿ ¿¬°áµÇ¾î ´Ù·®ÀÇ ¾Ç¼ºÄڵ忡 °¨¿°µÇ°Ô µÈ´Ù.
¾Æ·¡ ȸé°ú °°ÀÌ Æ¯Á¤ ½ºÅ©¸³Æ® Äڵ尡 ÇØÅ·µÇ¾î Æ÷ÇԵǾî ÀÖ´Ù.(ÀϺΠ»ý·«)
<script scr=http://*********/*.js></script>
¡ã¾Ç¼º ½ºÅ©¸³Æ®°¡ Æ÷ÇÔµÈ È¸é. ÀϺΠÁÖ¼Ò ¸ðÀÚÀÌÅ© ó¸®/ À×Ä«ÀÎÅͳÝÁ¦°ø ¨Ïº¸¾È´º½º
ÇöÀç ±¹³»¿Ü ´Ù·®ÀÇ »çÀÌÆ® µîÀÌ ÇØÅ·ÇÇÇظ¦ ÀÔ°í ÀÖ¾î °¨¿°»ç¿ëÀÚµéÀÇ ¼ö°¡ Áõ°¡ÇÒ ¼ö ÀÖÀ¸¸ç, ¾Ç¼º ½ºÅ©¸³Æ® ÆÄÀÏ µî¿¡ ÀÇÇØ 2Â÷ÀûÀ¸·Î ¾ÆÀÌÇÁ·¹ÀÓ ¿¬°áÀÌ ÀÌ·ç¾îÁö°Ô µÈ´Ù. (ÀϺΠÁÖ¼Ò ¸ðÀÚÀÌÅ© ó¸®)
ISARC °ü°èÀÚ´Â ¡°¾Ç¼º ½ºÅ©¸³Æ® ÄÚµåµéÀº º¸¾È¾÷ü ¿¬±¸¿øÀ̳ª À¥ »çÀÌÆ® °ü¸®ÀÚµéÀÇ ºÐ¼®À» ¹æÇØÇϱâ À§ÇÏ¿© ´Ù¾çÇÑ ¹æ½ÄÀ¸·Î ¾ÏÈ£È µÇ¾î »ç¿ëµÇ¸ç, ƯÈ÷ ¿©·¯ °¡Áö Ãë¾àÁ¡ Äڵ带 µ¿½Ã´Ù¹ßÀûÀ¸·Î »ç¿ëÇÏ¿© ºÒƯÁ¤ ÀÎÅÍ³Ý »ç¿ëÀÚ·Î ÇÏ¿©±Ý ½±°Ô ¾Ç¼ºÄڵ忡 ³ëÃâµÉ ¼ö ÀÖµµ·Ï ±¸¼ºµÇ¾î ÀÖ´Ù¡±°í °æ°íÇß´Ù.
¡ã¾Ç¼ºÄÚµå ³»ºÎ ȸé°ú ¿¬°áµÈ Exploit Code/ À×Ä«ÀÎÅͳÝÁ¦°ø ¨Ïº¸¾È´º½º
ƯÈ÷, À̹ø¿¡ ¼³Ä¡µÇ´Â ÆÄÀÏ Áß¿¡´Â ARP Spoofing °ø°Ý±â´ÉÀÇ ¾Ç¼ºÄڵ嵵 ÇÔ²² ¼³Ä¡µÇ¾î °¨¿°µÇ±â ¶§¹®¿¡ ³×Æ®¿öÅ©¿¡ ¿¬°áµÈ 1´ëÀÇ ÄÄÇ»ÅÍ°¡ °¨¿°µÉ °æ¿ì µ¿ÀÏ ³×Æ®¿öÅ© ´ë¿ªÀÇ ¸ðµç ÄÄÇ»ÅÍ°¡ ¾Ç¼ºÄڵ忡 ³ëÃâµÇ´Â À§Çè¿¡ ³õÀÏ ¼öµµ ÀÖ°Ô µÈ´Ù.
µû¶ó¼ ¸¹Àº ÄÄÇ»Å͸¦ »ç¿ëÇÏ´Â ±â¾÷ÀÇ °æ¿ì ±× ÇÇÇØ°¡ ±âÇϱ޼öÀûÀ¸·Î Áõ°¡ÇÒ °¡´É¼ºÀÌ ¿ì·ÁµÈ´Ù. (³×Æ®¿öÅ© ¼Óµµ ÀúÇÏ µî)
ƯÈ÷, À¯Æ÷ °æÀ¯Áö URLÁÖ¼Ò¿¡¼ ½Ã°£Â÷¸¦ µÎ°í º¯Á¾À» À¯Æ÷ÇÏ°í ÀÖ´Â °ÍÀÌ È®ÀÎµÇ¾î °¨¿°µÈ ³×Æ®¿öÅ©ÀÇ °æ¿ì ARP Spoofing ±â¹ý¿¡ ÀÇÇؼ Áö¼ÓÀûÀÎ º¯Á¾ÀÌ °¨¿°µÉ ¼ö ÀÖ´Ù.
À×Ä«ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼ ´ëÀÀ¼¾ÅÍ °ü°èÀÚ´Â ¡°ÇöÀç À¯Æ÷°¡ ÁøÇà ÁßÀÎ ¸ðµç ¾Ç¼ºÄڵ带 ¼öÁýÇÏ¿´À¸¸ç, ºÐ¼® °úÁ¤À» °ÅÄ£ ÈÄ ±ä±Þ ¾÷µ¥ÀÌÆ®¸¦ ¿Ï·áÇÑ »óȲ¡±À̶ó°í ÀüÇß´Ù.
ÇÑÆí ¸ð °ü°èÀÚ´Â ¡°À¥ »çÀÌÆ®¸¦ ÅëÇؼ À¯Æ÷µÇ´Â ¾Ç¼ºÄڵ带 ¹Ì¿¬¿¡ ¹æÁöÇϱâ À§Çؼ´Â ÃֽŠº¸¾È ÆÐÄ¡ ÇÁ·Î±×·¥À» ¹Ýµå½Ã ¼³Ä¡Çϵµ·Ï ÇÏ°í, ÃֽŠ¹öÀüÀÇ º¸¾ÈÁ¦Ç°(¹é½Å, °³ÀιæȺ®) µîÀ» ÀÌ¿ëÇÏ´Â °ÍÀÌ ÇʼöÀûÀÌ´Ù¡±¶ó°í °Á¶Çß´Ù.
¶ÇÇÑ, ¾Ç¼ºÄÚµå À¯Æ÷·Î ¾Ç¿ëµÇ´Â °æÀ¯Áö »çÀÌÆ®ÀÇ °æ¿ì SQL Injection µîÀÇ Ãë¾àÁ¡À» º¸¿ÏÇÏ°í º¯Á¶µÈ ¾Ç¼ºÄڵ带 ½Å¼ÓÇÏ°Ô Á¦°ÅÇÏ´Â ³ë·ÂÀÌ ÇÊ¿äÇÏ°Ú´Ù.
¡áÁÖÀÇ »çÇ×
1. °³Àλç¿ëÀÚÀÇ °æ¿ì¿¡´Â ÃֽŠ¹öÀüÀÇ º¸¾È Á¦Ç°À¸·Î °Ë»çÇÏ°í Ä¡·áÇØ¾ß ÇÑ´Ù.
2. ±â¾÷ÀÇ º¸¾È°ü¸®ÀÚ´Â ÇØÅ· ´çÇÑ À¥ »çÀÌÆ®ÀÇ Á¢¼ÓÀ» Â÷´ÜÁ¶Ä¡ ÇÑ´Ù.
[±æ¹Î±Ç ±âÀÚ(reporter21@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>