인용 : http://www.zdnet.co.kr/news/internet/hack/0,39031287,39156387,00.htm
자바스크립트를 이용한 버그 헌팅 툴, 은밀한 모습을 드러내다
Joris Evers ( CNET News.com ) 2007/03/27
24일, 워싱턴에서 열린 「ShmooCon」에서 한 보안 연구자는 잘 모르는 웹 서퍼의 PC를 해커의 도구로 만드는 툴을 시연했다. 하지만, 툴을 공개하지는 않았다.
예고된 대로, SPI 다이내믹스(SPI Dynamics)의 연구자인 빌리 호프만(Billy Hoffman)은 자바스크립트로 만든 웹 응용프로그램 취약점 스캐너를 시연했다.
「직토(Jikto)」라고 하는 이 툴은 의심을 하지 않는 웹 사용자의 PC를 이용해 아무도 모르게 공개 웹 사이트를 돌아다니면서 감시를 한 후, 그 결과를 제3자에게 전송하게 만들 수 있다고 호프만은 말했다.
하지만, 처음 계획과는 달리, 호프만은 직토를 공개하지는 않았다. 그는 프레젠테이션 후에 "높은 분들이 처음에는 발표해도 된다고 했었는데, 생각을 바꿨다."고 말하면서, "교육적인 메시지를 전달하고 관련된 위험을 사람들에게 보여주는 것에 초점을 맞추기로 결정했다."고 덧붙였다.
ShmooCon에 참석한 또 한 명의 SPI 다이내믹스 대표자는 직토가 사이버불량배들의 손에 이용당할 수 있기 때문에 공개하지 않기로 결정했다고 말했다.
웹 보안 툴을 판매하는SPI 다이내믹스의 보안 전문가인 마이클 서튼(Michael Sutton)은 "악의적인 목적으로 사용할 수 있는 것은 어떤 것도 공개하기를 원하지 않는다."라고 말했다.
호프만은 경각심을 높이기 위해서 직토를 시연한다고 말했다. 웹 사이트의 취약점을 이용하면 악의적인 자바스크립트 코드를 주입하여 사용자들을 심각한 위험에 빠뜨릴 수 있다고 그는 말했다. 예를 들어, 크로스 사이트 스크립팅 결함으로 알려진 일반적인 웹 보안 허점을 이용하면 신뢰할 수 있는 사이트에 직토를 설치할 수 있다고 그는 말했다.
"중요한 점은 크로스 사이트 스크립트 작성 기능이 얼마나 무시무시한 것이 될 수 있는가를 보여주는 것이었다."라고 말했다. 보안 산업계의 일부 사람들은 그 결함이 사소한 것이라고 주장하지만, 호프만은 그 결함이 심각하며, 특히 자바스크립트와 함께 사용될 때 그러함을 보여주었다. 그는 "이것은 코드 실행 방식"이라면서, "자바스크립트가 보안 모델을 완벽하게 무력화시킨다."라고 말했다.
자바스크립트는 웹에서 일반적으로 사용되는 스크립트 작성 언어이며 대부분의 웹 브라우저에서는 자바스크립트를 실행할 때 경고 메시지가 나오지 않는다. 이 자바 스크립트가 내장된 웹 사이트를 방문하는 인터넷 사용자는 스크립트가 실행되어도 전혀 모를 수 있다. 브라우저에서 자바스크립트 실행 기능을 끄면 도움이 되지만, 종종 그렇게 하면 사이트의 많은 유용한 기능들도 사용할 수 없게 된다.
직토는 일반적인 보안 허점을 찾아낼 수 있으며 컨트롤러로 다시 연결하여 공격할 웹 사이트와 찾아낼 결점에 대한 명령을 받을 수 있다고 호프만은 말했다.
예를 들어, 주요 인터넷 뱅킹 사이트에서 SQL 주입 취약점을 찾아내도록 직토를 프로그램 할 수 있다. 그런 취약점을 이용하면 공격할 데이터베이스를 열 수 있다.
ShmooCon 참석자들은 그 행사에서 코드가 공개될 것으로 예상했기 때문에 호프만에게 직토 코드를 요청했다. 하지만 그가 SPI 다이내믹스가 그 툴을 공개하지 않을 것이라고 말했을 때 크게 실망한 것으로 보이지는 않았다.
익명을 요구한 한 ShmooCon 참석자는 "누군가가 그렇게 할 수 있다고 이야기를 하면, 금방 다른 누군가가 그것을 만들어낸다."라고 말했다. "이것도 곧 만들어질 것이다."
자바스크립트를 이용한 버그 헌팅 툴, 은밀한 모습을 드러내다
Joris Evers ( CNET News.com ) 2007/03/27
24일, 워싱턴에서 열린 「ShmooCon」에서 한 보안 연구자는 잘 모르는 웹 서퍼의 PC를 해커의 도구로 만드는 툴을 시연했다. 하지만, 툴을 공개하지는 않았다.
예고된 대로, SPI 다이내믹스(SPI Dynamics)의 연구자인 빌리 호프만(Billy Hoffman)은 자바스크립트로 만든 웹 응용프로그램 취약점 스캐너를 시연했다.
「직토(Jikto)」라고 하는 이 툴은 의심을 하지 않는 웹 사용자의 PC를 이용해 아무도 모르게 공개 웹 사이트를 돌아다니면서 감시를 한 후, 그 결과를 제3자에게 전송하게 만들 수 있다고 호프만은 말했다.
하지만, 처음 계획과는 달리, 호프만은 직토를 공개하지는 않았다. 그는 프레젠테이션 후에 "높은 분들이 처음에는 발표해도 된다고 했었는데, 생각을 바꿨다."고 말하면서, "교육적인 메시지를 전달하고 관련된 위험을 사람들에게 보여주는 것에 초점을 맞추기로 결정했다."고 덧붙였다.
ShmooCon에 참석한 또 한 명의 SPI 다이내믹스 대표자는 직토가 사이버불량배들의 손에 이용당할 수 있기 때문에 공개하지 않기로 결정했다고 말했다.
웹 보안 툴을 판매하는SPI 다이내믹스의 보안 전문가인 마이클 서튼(Michael Sutton)은 "악의적인 목적으로 사용할 수 있는 것은 어떤 것도 공개하기를 원하지 않는다."라고 말했다.
호프만은 경각심을 높이기 위해서 직토를 시연한다고 말했다. 웹 사이트의 취약점을 이용하면 악의적인 자바스크립트 코드를 주입하여 사용자들을 심각한 위험에 빠뜨릴 수 있다고 그는 말했다. 예를 들어, 크로스 사이트 스크립팅 결함으로 알려진 일반적인 웹 보안 허점을 이용하면 신뢰할 수 있는 사이트에 직토를 설치할 수 있다고 그는 말했다.
"중요한 점은 크로스 사이트 스크립트 작성 기능이 얼마나 무시무시한 것이 될 수 있는가를 보여주는 것이었다."라고 말했다. 보안 산업계의 일부 사람들은 그 결함이 사소한 것이라고 주장하지만, 호프만은 그 결함이 심각하며, 특히 자바스크립트와 함께 사용될 때 그러함을 보여주었다. 그는 "이것은 코드 실행 방식"이라면서, "자바스크립트가 보안 모델을 완벽하게 무력화시킨다."라고 말했다.
자바스크립트는 웹에서 일반적으로 사용되는 스크립트 작성 언어이며 대부분의 웹 브라우저에서는 자바스크립트를 실행할 때 경고 메시지가 나오지 않는다. 이 자바 스크립트가 내장된 웹 사이트를 방문하는 인터넷 사용자는 스크립트가 실행되어도 전혀 모를 수 있다. 브라우저에서 자바스크립트 실행 기능을 끄면 도움이 되지만, 종종 그렇게 하면 사이트의 많은 유용한 기능들도 사용할 수 없게 된다.
직토는 일반적인 보안 허점을 찾아낼 수 있으며 컨트롤러로 다시 연결하여 공격할 웹 사이트와 찾아낼 결점에 대한 명령을 받을 수 있다고 호프만은 말했다.
예를 들어, 주요 인터넷 뱅킹 사이트에서 SQL 주입 취약점을 찾아내도록 직토를 프로그램 할 수 있다. 그런 취약점을 이용하면 공격할 데이터베이스를 열 수 있다.
ShmooCon 참석자들은 그 행사에서 코드가 공개될 것으로 예상했기 때문에 호프만에게 직토 코드를 요청했다. 하지만 그가 SPI 다이내믹스가 그 툴을 공개하지 않을 것이라고 말했을 때 크게 실망한 것으로 보이지는 않았다.
익명을 요구한 한 ShmooCon 참석자는 "누군가가 그렇게 할 수 있다고 이야기를 하면, 금방 다른 누군가가 그것을 만들어낸다."라고 말했다. "이것도 곧 만들어질 것이다."