'Security'에 해당되는 글 7

  1. 2011.08.22 뉴욕 해커들의 축제, 썸머콘 (SeedGen) (1)
  2. 2010.07.18 Bar4mi WebShell Finder Ver0.5 (3)
  3. 2010.02.17 Bar4mi WebShell Finder Ver0.3 (14)

조금 늦은 감이 있지만, 2011년 6월 10일 뉴욕에서 개최된 썸머콘(SummerCon)에 대한 참가후기를 공유합니다. “즐기는 자에겐 이길 수 없다”란 말이 컨퍼런스 내내 떠나질 않았습니다. 썸머콘에서 축제를 즐기는 이들의 모습을 함께 하면서 많은 것들을 느낄 수 있었습니다.

내년은 썸머콘의 15주년이라고 합니다. 유일한 한국인으로 저 혼자 참여한 올해와는 다르게 많은 사람들이 참가해서 뉴욕에 있는 보안인들과의 교류를 가질 수 있었으면 하는 바람입니다.

※ 본 문서는 씨드젠(SeedGen, http://www.seedgen.net)에서 작성되고 공개되는 것입니다.


Comment

  1. 2011.12.12 21:55

    비밀댓글입니다

Bar4mi WebShell Finder Ver0.5

2010.07.18 22:09 | Posted by bar4mi
예전에 공개한 바있는 웹 백도어 탐지 도구의 버그와 기능을 개선하여 구글 코드에 오픈 소스 프로젝트로 공개하였습니다. 


전반적으로 속도 문제를 일부 개선하였으며, 전체적인 개선 사항은 아래와 같습니다. 

1. ASP 점검시 정규표현식 처리에서 발생한 문제 수정
2. 점검시 예외 디렉터리를 설정할 수 있는 기능 제공
3. 사용자가 점검할 파일의 크기를 설정할 수 있는 옵션 제공
4. 점검 현황을 즉각적으로 볼 수 있도록 화면 출력
5. 점검 파일을 TEXT 형식으로 제한(속도 개선을 위해)
6. Fingerprint 출력시 시간 형식 변경(추후 비교를 손쉽게 하기 위해)

별것 아닌 도구지만 제가 실무에서 겪은 작은 필요에 의해 제작한 것이며, 이와 같은 니즈가 다른 분들에게도 있을 것이라고 생각에 공개하게 되었습니다. 오픈 소스로 진행되는 만큼 아래와 같은 부분에 대해서 여러분들의 도움을 받았으면 합니다. 

1. 프로그램에 대한 개선 의견 
2. 발견한 각종 웹쉘의 공유(패턴을 생성하기 위함)
3. 프로그램 개선에 참여(참여 의지가 있으신 분은 연락 주시기 바랍니다.)


Comment

  1. 4prils 2010.07.21 08:28

    사용해보고 버그나 개선사항이 있으면 말씀드리겠습니다. ^^

  2. 감사합니다 :) 버그 및 개선사항을 말씀해주시면 감사하겠습니다. 좋은 하루 보내세요

  3. smile 2012.12.05 01:09

    학교에서 perl를 공부중에 있는데,
    개인별 미니 프로젝트를 구상하고 있습니다.
    그러던도중 웹쉘 탐지 주제를 가지고 하기로 했는데,
    마침 이런글을 발견했네요..
    혹시 공부도 하고, 참고할려고 합니다만,
    괜찮겠습니까?

Bar4mi WebShell Finder Ver0.3

2010.02.17 11:57 | Posted by bar4mi
'웹 백도어(웹쉘)를 탐지하는 방법'에 대한 문서와 문서에서 제안한 기술적 방안을 구현한 도구(BWSFinder)를 공개합니다.

I published 'How to detect webshell' in Korean and released BWSFinder which is suggested in the document.

'How to detect Webshell Kor' 문서는 악의적인 외·내부자에 의한 웹 백도어를 예방하고 탐지하기 위한 방안을 담고 있습니다. 예방을 위한 관리적 방안으로 버전 관리 시스템과 개발 환경·운영환경의 분리, 역할에 따른 상호 견제를 권고하며, 탐지를 위한 기술적 방안으로 정기적인 파일 목록 감사, 패턴 매칭을 통한 웹 백도어 검출을 권고합니다.

The document describes a methodology to prevent and to detect web backdoors(webshell) by malicious internal and external user. To prevent a web backdoor suggests to apply the version control system,to separate environment into development and operating, to hold each other in check. To detect it suggests regularly to audit file lists and to check files by using malicious string pattern. 

'BWSFinder'는 이식성을 높이기 위해 perl로 제작되었으며, GPLv3 라이센스를 따릅니다. 자유롭게 사용하여 주시기 바랍니다.

BWSFinder is developed using perl and follows GPLv3. I hope that it is useful to make your web service safe.



Comment

  1. armada 2010.02.17 13:08

    드디어 나왔군요. 고생 많으셨습니다. ^^

  2. 뽀빠이 2010.02.17 13:14

    고생했다.

  3. 감사합니다 :)

  4. n0fate 2010.02.17 20:21

    기다렸습니다! 잘 읽겠습니다. 감사합니다 :)

  5. n0fate 2010.02.17 20:54

    문서 잘 보았습니다.(30분만에 또 댓글을 다네요^^;)

    다수의 보안전문가들의 힘으로 지속적인 패턴DB가 추가된다면 큰 효용성을 발휘할 것 같습니다.

    추가적으로 덕분에 잘 모르는 Perl공부도 같이할 수 있을 것 같습니다 :)

  6. hw 2010.02.18 00:32

    역시 멋지십니다 -ㅁ-b armada 선배님은 빠르시네요 ;ㅁ;

  7. 영철 2010.02.18 09:25

    -_-)b

  8. rainysun7 2010.02.18 13:33

    감사합니다. 많은 도움이 될 것 같습니다 ^^

  9. CodeEngn 2010.02.18 15:55

    정말 고생 많으셨어요!!
    잘 써보고 피드백 드리겠습니다 :)

  10. maze76 2010.03.09 19:10

    윈도우에서 돌리기 위해 activeperl 설치 후 perl2exe를 다운 받아 실행했습니다. Warning: Can't locate Digest/Perl.MD5.pm at C:\Perl\lib\Digest\MD5.pm line 30 @INC = C:\Perl\site\lib, C:\Perl\lib, . 라는 메시지 출력 후 정상적으로 compile이 안됩니다 왜 그럴까요? ;ㅁ;

  11. maze76 2010.03.17 18:15

    알고보니 압축 문제였습니다. 압축 프로그램 버전이 낮아 bwsfinder 단일파일로 압축이 풀리더군요. 아. 그리고 asp.dat에서 탐지패턴이 문제가 있는지 -t asp 옵션에서 정상 동작하지 않습니다.
    #M:Execute Session:execute *\(? *session
    #M:Execute Request:execute *\(? *request
    #M:Eval Request:eval *\(? *request
    #M:Common Pattern:execute *\(? *session
    이 4개 라인이고 *\(? 이부분이 문제가 되는듯 합니다.

  12. 감사합니다. PHP 쪽만 고려하여 제작하고 asp, jsp 쪽은 패턴만 급하게 추가를 했더니 그런 문제가 생겼습니다. ^^; 피드백을 해주셔서 정말 감사합니다. 저도 이번에 asp 쪽으로 검증할 필요가 있어서 해당 프로그램을 돌려봤는데 많은 문제점들이 보였습니다 Orz 단순히 기능만 고려해서 작성을 했더니 성능이나 여러가지가 문제가 되는 것을 발견했습니다. 특히 Debug 옵션을 활성화해서 배포한 것도 그렇구요 ^^; 조만간 개선해서 보다 나은 모습으로 배포할 수 있도록 하겠습니다. 감사합니다.

  13. n4ru 2011.02.16 09:58

    써보고 피드백 드리겠습니다 :)

  14. Selon un communiqué de presse de l'organisateur chilien du Dakar-2011, http://www.moncleroutletespain.com/ moncler chaquetas, deux hommes travaillant en marge du rallye sont morts à la suite d'accidents au Chili, http://www.moncleroutletespain.com/ moncler españa. L'un est décédé jeudi à Copiapo (centre du Chili) où la course se rendra mardi, http://www.moncleroutletespain.com/ moncler online, lorsqu'une structure métallique soutenant une banderole de bienvenue est tombée sur un cable à haute tension, http://www.moncleroutletespain.com/ http://www.moncleroutletespain.com/. L'autre a été victime d'une décharge électrique mortelle hier à Arica (nord), http://www.moncleroutletespain.com/ moncler outlet, où la course vient d'arriver, http://www.moncleroutletespain.com/ moncler. Sport France-Brésil: la liste des Bleus le 3 février Sport JO-2018: Charles Beigbeder président du Comité de candidature d'AnnecyRelated articles:


    http://mysna.tistory.com/20?_top_tistory=new_title http://mysna.tistory.com/20?_top_tistory=new_title

    http://jonyjung.tistory.com/323 http://jonyjung.tistory.com/323

이전 1 2 3 다음