Dragonfog.net

[코드레벨 분석을 통한 log4j 취약 여부 점검 Tool] 주요기능: 패키지 매니저와 jar 파일 분석을 통해 CVE-2021-44228이 발견된 log4j를 사용 중인 프로젝트를 탐지해 주고 유무에 따라 업데이트 안내. CVE-2021-44228 : A zero-day vulnerability for the logging framework Apache Log4j called Log4Shell 2. 사용법: % java -jar LabradorLog4ShellDetector.jar -project [path] https://labrador.iotcube.com/ LabradorLog4ShellDetector.jar

log4j취약점 일명 log4shell는 0-day 취약점이라고 부릅니다. 0-day 취약점이라 개발자보다 해커들이 먼저 발견한 취약점으로 이미 취약점이 발견되고 나서는 때가 늦을수도 있습니다. 개발자들에게 0-day 취약점이란 긴급 패치를 해야하고 패치가 완료되기 까지 24/7 비상상태 입니다.... 해당 취약점이 배포된 시기부터 시스템/로그등을 분석해서 공격여부를 확인해야 합니다. 1. log4j 버전이 2.10.0 이상인 경우 아래와 같이 임시 조치가 가능 "log4j2.formatMsgNoLookups"를 "true"로 설정 -Dlog4j2.formatMsgNoLookups=true 2. 버전 업데이트 https://logging.apache.org/log4j/2.x/download.html 3...

#HTST 란? HTTPS를 강제하는 사이트의 경우 HTTP로 접근할 때, 302 Redirect 하는 경우가 많음 이렇게 될 경우 취약점이 발생한다. (SSL Strip Attack : 하단참고) 유저(브라우저)에게 HTTPS 요청만 허용함을 알려주는 것을 HSTS라고 함.(응답 Header에 추가함.) HSTS는 서버 응답 Header를 통해 등록이 이루어질수도 있지만, Google, Paypal, Twitter의 경우는 크롬 브라우저에 HSTS가 Preload 되도록 강제화 되어있음. 참고 : https://www.chromium.org/hsts SSL Strip Attack이란? SSL이 적용되어 있는 페이지에 공격자가 공격 대상의 HTTP Request를 스니핑 하여 SSL을 공격하는 방법 [공..