Security Blog

금보원에서 발간된 보고서 중 Http.sys에 취약점에 대해 보게되었고 신기해서 찾게 되었다. 그리고 이 글은 http.sys에 대한 글이다. 먼저 http.sys는 2015년도 CVE 취약점으로 Windows IIS에서 발생한다. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1635 Http.sys 오버플로우 취약점으로 원리는 HTTP 요청 값에서 Length 사이즈를 조절하면 이때 오버플로우가 성공하는 취약점이다. 워낙 예전 OS 및 IIS버전만 해당되지만 많은 기업 레거시 시스템이 구형이 많아 생각보다 쓸만할지도?라는 생각으로 좀 분석해본다. 먼저 실험 대상의 시스템은 다음과 같이 Windows2000이며 IIS는 5.0버전이다. 원래 정상적인..

한참 핫할때는 놀고서 좀 늦었지만 Log4j에 대한 글을 적어보도록하겠다. 1. Log4J 이론 흔히 Log4J라고 말하고있으나 취약점의 명칭은 Log4Shell(CVE-2021-44228)로 Log4J 라이브러리의 취약점을 이용한 해킹방법이다. Log4J란 'Apache 소프트웨어 재단'에서 제작하고 배포하는 Java에서 Log를 기록하기 위해 사용하는 라이브러리 Log4J에 존재하는 취약점이다. 이때 Java를 사용하는 IDE(ex. eclipse, Android Studio and so on)를 사용해 개발을 진행할때 프로그램 코드의 로그를 남기기 위해서 Java에서 제공하는 Log4J를 사용한다. 이때 Log4J란 JNDI(Java Naming and Directory Interface)를 사용하..

가상계좌의 정의는 다음과 같다(출처 나무위키) 가상계좌의 사용은 딱 하나 사용자마다 전용의 계좌를 생성하며 다른계좌를 알려주기에 원 고객의 정보가 노출될 일이 없다 (예를들어 '갑'이 '을'에게 입금하려 할때 B에 원계좌가 아닌 가상계좌를 사용해 '을'의 정보를 보호할 수 있다) 또한 사업자와 같이 입금을 많이 받아야하는 사람일 경우 통장에게 구매자 전용 계좌를 만들어 관리도 편할 수 있다. (예시로 A업체에게 구매자 B,C,D,E가 돈을 입금하려할때 A통장으로 보내면 B,C,D,E가 섞여 누가 입금했는지 안했는지 혼란을 주지만 A업체가 각 구매자에게 A-b, A-c, A-d, A-e라는 가상계좌를 생성 시 A는 각 가상계좌 입금내역만 확인하면 된다) 가상계좌의 경우 업체와 은행간의 계약을 통해 만들어지..

얼마전 인터넷 게시판에 두명의 유저가 싸우며 사진과 이름을 올린것을 보았다. 사진과 이름은 개인정보인데 이럴 때 어떤 죄가 있는지 확인해보고싶어 찾아보고 이 내용을 정리한다. 상황정리 인터넷에서 김철수(가명)와 이양아(가명)이 서로 싸우다가 이양아는 김철수의 사진과 이름을 게시판에 올렸다 김철수 까불지마라 이럴때 과연 김철수는 이양아를 어떤 방식에 의거하여 처벌을 주장할 수 있을까 먼저 사진과 이름은 개인정보이다. 특히 이름과 사진이 결합 되면 특정인으로 재단할 수 있는만큼 개인정보보호법(개보법) 위반이 아닐까하고 개보법을 먼저 찾아보았으나 개보법에는 특별한 단어가 있어 위에사항에 해당될 수 없을것 같다. 먼저 개보법의 특별한 단어를 알아보기위해 저 사건의 핵심은 개인정보를 게시판에 "저장" 했으며 협박..

"개인정보보호법 제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례의 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례) ④ 정보통신서비스 제공자는 만 14세 미만의 아동으로부터 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 하고, 대통령령으로 정하는 바에 따라 법정대리인이 동의하였는지를 확인하여야 한다."의 항목이 있다. 즉 만 14세 이하 아동에게 서비스를 제공하려면 법정대리인의 동의가 필수인데 이 과정이 굉장히 까다롭기 때문에 많은 기업들이 14세 이하에게는 서비스하지 않는다로 약관에 명시 후 서비스를 제공하지 않는 것을 하고 있다 하지만 커머스의 경우 회원외에 비회원에게도 서비스를 제공하는데 이 때 만 14세 이하 이용자도 서비스를 이용할 위험이 있다 우리..

데이터 바우처를 진행하며 APK에 대해 심도있게 공부하던 와중 악성코드가 의심되는 APK의 경우 권한에 대한 부분을 많이 가져온다는 것을 알게되었다. 물론 진단하는 어플의 경우 악성코드로서 보지는 않지만 컨설팅에서 좀더 뎁스있는 방법으로 권한에 대한 부분을 과하게 받는지 아닌지 확인하여 진단하는 것을 해주면 좋지않을까 하며 해당 부분에 대해 좀더 다루어보려고한다. (실제로 권한을 과도하게 받으면 악성코드가 존재하는 어플리케이션인지 백신에 의해 의심받을 수 있다.) 안드로이드의 권한의 경우 AndroidManifest.xml 파일에 압축되어 정의되어 있다. 위의 예시의 경우 Manifest.xml파일에 총 16개의 permission이란 단어를 포함한다 이중 일부는 실제 퍼미션은 아니지만 위의 사진에서 몇..

apk 파일을 항상 뜯으면서 제대로 알지 못하고 매번 끄적거리는거같아 이번에 모바일 공부하며 공부내용을 정리해보려고한다. 해당 내용은 논문들을 읽어보며 긁어온 내용입니다. Ref: 민승욱, 2012, 안드로이드 악성코드 분석 및 기계학습 기법을 이용한 탐지 방법 -APK(Android Package) 1. dex: Kotlin 및 Java로 이루어진 class를 달빅(vm)에서 인식할 수 있도록 바이트 코드로 변환시킨 실행파일 - 해당 파일은 low 언어이기에 IF-eqz, if-nez 등 분기문으로 작동시키는것을 볼수 있다 - low언어를 읽기위해 dex2jar와 같은 방식의 해석가능한 수준으로 만드는 것이 필요 2. lib: 외부 라이브러리(*.so)가 저장되는 폴더 3. res: 앱 실행 시 필요한..

어느 한날 단톡방에서 외국인 여권에 대한 개인정보처리를 어떻게 하면 좋을까에 대한 대화로 이 글이 시작되었다. 당시 여권정보는 고유식별정보로 처리하고 있는 현행법상 이를 고유식별정보로 처리해야하는가였으며 관련기관에서는 고유식별로 처리 하지 않는다는 답변을 듣고 해당 내용에 대해 궁금증이 생겨 해당 내용에 대해 리서치하고 고찰한 내용을 정리해보았다. 고유식별정보 정리 고유식별정보란 다음의 법령을 따른다(2021-03-19일 기준) 개인정보 보호법 시행령 19조(고유식별 정보의 범위) 법 제24조제1항 각 호 외의 부분에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는..

2019년도에 sudo 취약점이 나왔던거 같은데 이번에는 heap buffer overflow로 취약점이 새로나왔다. 해당 취약점을 실행하기 위해서는 두가지 파일이 필요하다 exploit.c la.c가 필요한데 la.c는 동영상에서 확인이 가능해서 코드가 돌아다니지만 exploit.c는 아직 밝혀진게없어 실제로 사용해보지는 못하였다. vimeo.com/504872555 여기보면 gpg로 암호화해둔 것도 확인할 수 있었다. (왜올린거냐..) github.com/Serpentiel/CVE-2021-3156 Serpentiel/CVE-2021-3156 Contribute to Serpentiel/CVE-2021-3156 development by creating an account on GitHub. gith..

과거 게시물 보면 시큐어 코딩에 대해 얘기할 떄 Jenkins에 대한 게시글이 하나 보일 것이다. Jenkins는 웹사이트를 관리하는 툴로 위의 대표 그림처럼 개발사이트부터 운영사이트까지 웹 관리하는데 많은 도움을 주는 웹 집사이다. 하지만 2020년 1월 CVE를 통해 Jenkins 취약점이 발표되었다. CVE 넘버는 2020-2100으로 취약점을통해 DDos 공격이 가능한 취약점이다. 취약점의 개요는 다음과 같다. 젠킨스 버전 2.218 이하의 버전이거나 LTS 2.204.1 이하 버전에서 사용할 수 있으며 33848포트를 통해 UDP증폭을 만들어 반사 서비스 거부 공격을 진행한다. 먼저 반사 서비스 공격이 무엇일까? 반사 공격이란 공격자가 공격할 때 피해자에게 바로 공격하는 것이 아닌 다른 서버를 ..