warning.or.kr 취약점 분석
Post on 16-Jul-2015
740 Views
Preview:
TRANSCRIPT
Warning.or.kr-취약점 파악-
UNIST HeXA 김민규
이 프레젠테이션에서 소개하는 내용은 불법 도박이나무허가 의료기기 판매, 상표권·저작권 침해 등 현행법령에서 금지하는 행위를 조장하기 위한 것이 아닙니다.
해당 웹사이트 접속으로 인해 발생할 수 있는 모든 정신적·물질적인 피해나 민·형사상 책임에 대해 보상이나 책임질 의무를 지지 아니합니다.
자기소개이름: 김민규
UNIST 재학중(12)
HeXA 전 부회장
컴퓨터 좋아합니다
warning.or.kr?
불법, 유해 사이트
불법, 유해 사이트
How?어떻게 막을까?
???????어디로 보내지?
???????어디로 보내지?
여기야 여기!
Ip: 8.20.213.73
아하!!
여기야 여기!
Ip: 8.20.213.73
DNS 서버가 하는 일
도메인 > ip
DNS
DATA
8.20.213.73
DNS BLACKLIST
www.grooveshark.com
.....
.....
DNS BLACKLIST
www.grooveshark.com
.....
.....
DNS BLACKLIST
www.grooveshark.com
.....
.....
어떻게 우회할까?
VPN
패킷 헤더 조작
VPN-Virtual Private Network-
DNS해외VPN
장점:해외 서버를 거치기 때문에 ip차단도 우회 가능
단점:속도가 느리다.
해외 서버 상태가 수시로 바뀔 수 있다.
VPN
패킷 헤더 조작
패킷?
네트워크의 기본 전송 단위!
GET http://www.naver.com/ HTTP/1.1
Host: www.naver.com
Proxy-Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/39.0.2171.65 Safari/537.36
Accept-Encoding: sdch
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4
우리가 주목할 부분
네이버에 접속할 때 보내는 패킷
POST http://grooveshark.com/more.php?markSongQueueSongPlayed HTTP/1.1
Host: grooveshark.com
Proxy-Connection: keep-alive
Content-Length: 625
Origin: http://grooveshark.com
X-Requested-With: ShockwaveFlash/15.0.0.223
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/39.0.2171.65 Safari/537.36Content-Type: application/json
Accept: */*
Referer: http://grooveshark.com/static/JSQueue_20141117220424.swf
Accept-Encoding: gzip, deflate
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: _ga=GA1.2.500785348.1416553283; ismobile=no; _gat=1;
PHPSESSID=5f3c1af11916099ea0ea2da0bf7d5bf7
POST http://grooveshark.com/more.php?markSongQueueSongPlayed HTTP/1.1
Host: grooveshark.com
Proxy-Connection: keep-alive
Content-Length: 625
Origin: http://grooveshark.com
X-Requested-With: ShockwaveFlash/15.0.0.223
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/39.0.2171.65 Safari/537.36Content-Type: application/json
Accept: */*
Referer: http://grooveshark.com/static/JSQueue_20141117220424.swf
Accept-Encoding: gzip, deflate
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: _ga=GA1.2.500785348.1416553283; ismobile=no; _gat=1;
PHPSESSID=5f3c1af11916099ea0ea2da0bf7d5bf7
\n
POST http://grooveshark.com/more.php?markSongQueueSongPlayed HTTP/1.1
Host: grooveshark.com
Proxy-Connection: keep-alive
Content-Length: 625
Origin: http://grooveshark.com
X-Requested-With: ShockwaveFlash/15.0.0.223
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/39.0.2171.65 Safari/537.36Content-Type: application/json
Accept: */*
Referer: http://grooveshark.com/static/JSQueue_20141117220424.swf
Accept-Encoding: gzip, deflate
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: _ga=GA1.2.500785348.1416553283; ismobile=no; _gat=1;
PHPSESSID=5f3c1af11916099ea0ea2da0bf7d5bf7
엔터를 친다(라인피드 – Line feed)
통과한다!
왜 그럴까?
Why?
DNS BLACKLIST
www.grooveshark.com
.....
.....
DNS BLACKLIST
www.grooveshark.com
.....
.....
DNS BLACKLIST
www.grooveshark.com
.....
.....
???????
DNS BLACKLIST
www.grooveshark.com
.....
.....
???????
8.20.213.73
DATA
응용해봅시다
Proxy
안녕!정상이군....
다른 방법은없을까?
막을 방법은?-패킷 재조합-
감사합니다참고: bitbucket.org/jochangmin/hacked-urllib2
top related