아파치 프로젝트가 해킹당했다.
https://blogs.apache.org/infra/entry/apache_org_04_09_2010
더불어 이 공격을 막는 과정에서 버그를 패치하던 개발 업체 역시 피해를 입었다.
http://blogs.atlassian.com/news/2010/04/oh_man_what_a_day_an_update_on_our_security_breach.html
공격에 사용된 기법:
1. XSS
2. File Upload
3. Brute-Force
4. JAR backdoor
피해를 입은 전체 과정에 대한 상세 정보를 제공하고 있으니 한번 읽어들 보시길...
이글루스 가든 - professional secur...
덧글
xeraph 2010/04/13 20:39 # 답글
어제 atlassian 가입했는데 오늘 털렸다고 멜 와서 매우 당황했네요.. -_-;;
헐랭이 2010/04/13 22:12 #
ㅋㅋㅋ... 까마귀 날자 배떨어진다더니만, 하필 가입하자마자 털리다니...
헐랭이 2010/04/13 22:07 # 답글
XSS 취약점의 정말 무서운 점은 당신의 상상력의 한계가 공격의 한계라는 것이다.쉽게 바꾸어 말하면, XSS 하나면 상상할 수 있는 모든 공격을 다 할 수 있다.
그러나 실무에서 보면 보안 인력들 사이에서도 XSS의 중요성이 간과되는 경우를 볼 수 있다.
유형 1. XSS는 어디든 널려있잖아요. -> 취약점의 발생빈도가 높다고 해서 그 취약점이 중요하지 않은 것은 아니다. 그 반대가 맞다. 특정 취약점의 발생빈도가 높다는 것은 그 취약점의 위험도를 상향 조정할 필요가 있다는 것이다.
유형 2. Alert 창 하나 띄우는 취약점으로 뭘 할 수 있겠어요. -> 이렇게 말하는 사람은 XSS 취약점에 대한 이해도가 0% 이다. 상대할 필요가 없다.
유형 3. XSS해봤자 그냥 쿠키값 가져가는 정도잖아요. -> 이렇게 말하는 사람은 XSS 취약점에 대한 이해도가 10% 이다. 역시 상대할 필요가 없다.
보안이 고려되어야 하는 사이트라면 XSS 취약점은 단 1개도 발생되서는 안된다.
비겁한 비로긴 2012/02/14 11:13 # 삭제 답글
XSS 골아파요 엉엉 ㅠㅠ그냥 '클라이언트는 무조건 믿을수 없어!' 라는 개념으로 만들고 있긴 한데 SQL Injection도 신경쓰이고 에휴;