시큐리티 플러스의 방립동님이 올려주신 블로그 내용입니다.tp://www.securityplu
http://www.securityplus.or.kr/xe/?document_srl=17273&vid=bangrip1
위 블로그 내용에서 상세한 내용을 다뤘기 때문에 참고하시면 될것 같습니다.
제가 추출한 패턴은 다음과 같습니다.
alert tcp any any -> any 80 (msg:”Zeroboard PHP Mass Sql-Injection(download.php)”; flow:established, to_server; uricontent:”/download.php”; nocase; pcre:”/\/download\.php\?id=.*&filenum=(1|2)=.*,memo=concat\(/si"; )
테스트과정을 거쳐 변경사항이 생기면 변경하겠습니다.
더욱 좋은 방법은 download.php 파일 수정하는 방법입니다.
참고 : http://www.xpressengine.com/zb4_security/18448449
기존
mysql_query(“update $t_board”.”_$id set download”.$filenum.”=download”.$filenum.”+1 where no=’$no’”);
변경
if($filenum == 1)
mysql_query(“UPDATE “.$t_board.”_”.$id.” SET download1 = download1+1 WHERE no=’”.$no.”‘”);
elseif($filenum == 2)
mysql_query(“UPDATE “.$t_board.”_”.$id.” SET download2 = download2+1 WHERE no=’”.$no.”‘”);
'익스플로잇/웜 분석 및 테스트' 카테고리의 다른 글
보안장비 정책 설정 중 특이 로그 발견-1 (0) | 2012.03.09 |
---|---|
카카오톡 안드로이드 초기 버전, 최신버전 업데이트 필요 (1) | 2011.04.04 |
IIS 6.0 x.asp;x.jpg / x.php;x.jpg File Execution(IIS 6.0 Webshell 우회 방법) (1) | 2009.10.21 |
iframe 신종(?)우회 방법-2 (0) | 2009.10.09 |
iframe 신종(?) 우회 방법 (0) | 2009.10.08 |