'sql 인젝션'에 해당되는 글 1건

  1. 2009/01/25 SQL-INJECTION(인젝션) 차단하기.

SQL-INJECTION(인젝션) 차단하기.

2009/01/25 23:56 from ASP

봇넷에 감염된 좀비 PC들의 공격이 예상외로 광범위합니다.

SQL-INJECTION 알아보기
봇넷 및 좀비에 대하여 알아보기(MS)

------------------------------------------------------------------------------------------------      
        Dim array_split_item
        Dim item
        Dim array_counter
        Dim item_position1
        Dim item_position2

  //아이피 차단 하기 (IP 기록 DB운영)
  if Request.ServerVariables("REMOTE_ADDR") = "차단" then
    Response.write "귀하의 IP는 차단되었습니다."
    Response.End
  End if

        array_split_item = Array("/*", "*/", "@@", "nchar", "varchar", "nvarchar", "alter", "begin", "cast", "create", "cursor", "declare", "delete", "drop", "exec","execute", "fetch", "kill", "sys", "sysobjects", "syscolumns","update", "truncate", "<script", "</script>", "='", "= '")

        for each item in Request.Form
                for array_counter = lbound(array_split_item) to ubound(array_split_item)
                        item_position1 = InStr(lcase(Request(item)), array_split_item(array_counter))
                        item_position2 = InStr(lcase(Request.Form), array_split_item(array_counter))

                        if (item_position1 > 0) or (item_position2 > 0) then
                                Response.Write("고만해~")
                                Response.End() 
                        end if
                next
        next

        for each item in Request.QueryString
                for array_counter = lbound(array_split_item) to ubound(array_split_item)
                        item_position1 = InStr(lcase(Request(item)), array_split_item(array_counter))
                        item_position2 = InStr(lcase(Request.QueryString), array_split_item(array_counter))
     
                        if (item_position1 > 0) or (item_position2 > 0) then
                                Response.Write("고만해~")
                                Response.End() 
                        end if
                next
        next
--------------------------------------------------------------------------------------------
무료로 제공되는 소프트웨어도 있지만, 기능상에서는 동일합니다.

처음 중국 IP들은 부담없이 차단했고, 아예 자동화해서 공격시도가 1회이상 반복되면 모두 자동차단
하도록 처리해서 수천개 이상의 IP가 차단 되었는데, 문제는 90%이상 한국 개인들과 회사 PC라는 겁니다.

유동 IP로 ISP에서 자동 할당되어 IP를 공유하여 사용하는 개인들을 차단할 경우, 엉뚱한 사람까지 당사
홈페이지 접속을 못하도록 하는 경우가 생길 수 있어 상당히 고민스럽더군요.

국내에서의 해킹시도는 중국에서 뿌린 악성코드에 감염된 개인과 회사의 PC들인데,대게 특정사이트를 방문했다가 하드디스크 캐쉬에 남아 발생하는 것입니다.

수시로, 웹페이지 캐쉬와 숨김속성으로 있는 캐쉬폴더인 C:\Documents and Settings\LocalService\Local Settings\Temp 폴더만 비워주셔도, 악성코드의 70~90%정도는 삭제됩니다.

예전에는 바이러스등을 시스템(window/system) 폴더에 복사를 했었는데, 요즘에는 Temp폴더에 많이 복사가 되는 편입니다. 오랫동안 temp폴더를 건드리지 않으셨던 분들은 설정하기에 따라 달라지지만, 이 캐쉬폴더의 용량만 수기가에 달하는 경우도 있을 겁니다. 

캐쉬폴더는 가상메모리 기능으로서, 프로그램을 사용하면서 큰 파일을 로드하거나 프로그램 인스톨시 임시로 압축을 풀어놓는 용도로 사용되는 폴더입니다.

프로그램을 닫으면 보통 같이 삭제되지만, 불완전 종료시에는 삭제되지 않고 그대로 캐쉬폴더에 남게됩니다.

중국이 뿌린 악성코드에 한국의 개인들과 회사의 서버간에 공격하고 차단하는 양상이 벌여졌습니다.
또한, 수만개의 국내 사이트들이 이 공격의 피해를 봤습니다.

사용자 삽입 이미지

위의 스크립트 주소로 구글등에서 검색하면, 합산 수만개의 사이트가 뜹니다.
대부분이 한국사이트들이구요. 이렇게 집계에 잡히지 않은 사이트까지 계산하면 그 규모는 더 커질겁니다.

그리고, 요즘은 바이러스를 찾아보기 어렵네요.
명성을 떨쳐보고자, 돈 안되는 바이러스 개발보다는 아무래도 분명한 금전적이 있는 쪽에 몰린다는 의미겠죠.
그래서, 바이러스와 달리, 감염되어도 특별한 증상이 없고, 백신도 거의 유명무실합니다.

그냥 열심히 보안패치하고, PC의 트래픽을 잘 관찰하는게 최선의 방법 같습니다.

'ASP' 카테고리의 다른 글

[ASP블로그]ASP, RSS로 데이터 보내기  (0) 2009/02/16
ms-sql 컬럼내용 암호화  (0) 2009/01/27
SQL-INJECTION(인젝션) 차단하기.  (0) 2009/01/25
웹페이지 워드,엑셀,파워포인트로 변환  (0) 2009/01/20
TAG , , ,
Posted by yol oktour 트랙백 0 : 댓글 0