1. 판단 정상적으로 활용되고 있는 사이트는 아니지만, 최근에 만들고 있는 것으로 판단된다. 피싱사이트에서 보여지는 모든 링크는 정상적으로 동작되지 않는다.현재의 정상적인 우리은행 사이트와 매우 유사하다.중국에서 운영되고 있다. (링크를 클릭하면 중국어로 된 에러코드가 발생.) 2. 추측 과거에도 피싱사이트를 운영한 사람으로 추측된다. 점점 디테일이 좋아지고 있다. 아무래도 자주 만들어서 그런 것 같다.바로가기의 내용에 보면 "시행일 8월 ~ 9월예정" 으로 적혀 있는 문구가 있다. 3. 피싱사이트 전형적인 유형 악성코드로 인해 정상 사이트 접근 시도시 정상 사이트가 아닌 피싱사이트로 접근(host파일 변조 등) 로그인 시 아이디 비밀번호 갈취 본인 확인을 위한 주민번호 입력 유도 및 갈취 보안카드 전체..
1. About python을 이용하여 구글검색 결과 출력 하는 프로그램(라이브러리)이다. 비슷한 것으로 'xgoogle 라이브러리' 와 'MarioVilas의 google.py'가 있다. 2. Installation svn checkout http://pygoogle.googlecode.com/svn/trunk/ pygoogle cd pygoogle 3. Using python pygoogle.py [값] ex) python pygoogle.py hakawati 4. Library Installation python setup.py build python setup.py install 5. Using Library from pygoogle import pygoogle g = pygoogle('hakaw..
1. GeoIP가 지원하는 언어 C LibraryPerl ModulePHP ModuleApache Module (mod_geoip)Java ClassPython ClassC# ClassRuby ModuleMS COM Object?(ASP, ColdFusion, Pascal, PHP, Perl, Python, and Visual Basic code)VB.NET?(Only works with GeoIP Country)PascalJavaScript 2. GeoIP 설치 git clone git://github.com/appliedsec/pygeoip.git cd pygeoip python setup.py build sudo python setup.py install 3. GeoIP에 사용될 IP 데이터베이스 ..
1. About Python으로 구현된 "honeyclient"이다. 여기서 honeyclient는 공격을 포함하는 악성 웹 사이트의 페이지를 분석하여 제공하도록 설계한 것을 말한다. http://buffer.github.com/thug/doc/index.html 2. 설치모듈 PythonGoogle V8PyV8Beautiful Soup 4Html5libLibemuPylibemuPefileChardethttplib2CssutilsZope interfaceMongoDB (optional)PyMongo (optional) 3. 설치 환경 : Ubuntu 12.04 LTS amd64 설치방법 : Shell script #!/bin/bash #Thug installation on the Ubuntu 12.04 ..
Python으로 구현된 "honeyclient"입니다. 여기서 honeyclient는 공격을 포함하는 악성 웹 사이트의 페이지를 분석하여 제공하도록 설계한 것을 말합니다. http://code.google.com/p/phoneyc/ 기능 1. 원격 링크에 유용한 HTML 태그를 이해 hrefs, imgs 등...또한 iframe, frame 등2. 스크립팅 언어를 이해자바 스크립트 (spidermonkey를 이용)Visual Basic 스크립트 (vb2py를 이용)deobfuscation, 원격 스크립트 소스를 지원3. ActiveX 취약점의 공격 탐지를 위한 모듈 지원 4. 페이지에 대한 또다른 검색 방법을 지원ClamAV를 통한 AV 검출취약점 모듈 설치 환경 : Ubuntu 12.04 LTS amd..
1. Classloader와 JAVA 패키지 JAVA의 압축 Package들은 Application이 압축된 형태 그대로 사용할 수 있다. 어떤 Application이 사용하느냐에 따라 확장자가 달라진다. - JAR (Java ARchive) - 기본적으로 JAVA Application이 사용할 수 있도록 되어 있다. path 등의 방식을 이용하여 경로를 유지하기 때문에 jar 파일의 사용 및 배포는 경로설정의 문제에서 벗어날 수 있다. Class Loader 관점에서는 EJB 파일을 배치하게 되면, JAR 파일 당 각각의 Class Loader를 생성하게 된다. 그래서, 다른 JAR파일에 있는 Class들은 참조를 할 수가 없고, 오로지 Parent Class Loader인 JVM Level의 CLAS..
1. Java Application Server ClassLoader 자바 취약점 분석을 위해서는 Web Application Server의 위계구조까지 확장해서 알아둘 필요성이 있는 것 같다. Web Application Server의 위계구조를 그려보면 다음과 같다. - Bootstrap ClassLoader - (=Primordial ClassLoader, 부트스트랩 클래스로더) 모든 ClassLoad의 부모 ClassLoader이다. JVM이 실행될 때 맨 처음 실행되는 Class Loader로, 이 ClassLoader를 사용해서 JAVA실행에 필요한 기본적인 JDK 클래스들(/jre/lib/jt.jar, i18n.jar와 같은 기본적인 Archieve, -Xbootclasspath)를 로드하게..
