|
| Posted by 박종훈 | 2006-05-03 18:02:49, Hit : 3334 | |
|
|
|
FTP를 사용하실때, 흔히 자료실에도 있는,
FILETR32.DLL 를 사용하시기 마련입니다.
물론, 강요하는 것은 아니지만.. 아니! 강요하고 싶은데요^^;
FILETR32.DLL의 보안 취약점을 아시고 계신 건가요?
FILETR32.DLL 를 사용하면, 아래와 같은 보안 문제가 발생할수 있습니다.
보고 내용 : FILETR32.DLL 를 사용하면, FTP아이디, 혹은, FTP페스워드가 노출될수 있다.
보안 위험도 : 위험 (취약)
내용 : FILETR32.DLL 를 사용하는, FTP프로그램들이. 많이 있습니다. FTP프로그램 외에도, 필요한 곳에, 업로드, 및 다운로드 용으로 사용하는 경우가, 많은데요.. 아래와 같은 취약점이 있습니다.
>> 스누핑프로그램을 이용한, 스누핑을 하면, FILETR32.DLL를 이용하여, 업로드 및 다운로드 되는 동작 및, 사용자의 ID혹은, 암호가 노출될수 있습니다.
위는 심각성을 알려드리기 위한, 자료입니다..
위는 스누핑프로그램으로, 모 FTP에 접속했을때의, 기록인데요..
USER 으로 된 부분이, FTP 아이디 이며, PASS 으로 된 부분이 정작 문제가 되는 패스워드 노출 부분입니다..
그리고, FTP접속시 나오는 문구에서.. FTP를 이용한 것은, 암호화 되지 않는 다는 것을 유의하세요..
위의 자료에서, FTP에서는 서버에 보내는 데이터를 암호화하거나 암호를 부호화하지 않습니다. -
...
해결 방안) 간단한, 다운로드를 이용할 때에는, urlmon.dll 을 이용한, FTP가 아닌, http를 이용한, 다운로드 방법을 이용합니다.
음.. 이것 때문에.. 포인트가 8000 포인트를 넘어버렸네요 -_-;
음.. 리눅스 스샷도 보여드려야 하는데;
|
|
|
최재일 2006-05-03 PM 8:50:35 |
|
|
|
허겅 -ㅁ-
FILETR32.DLL이용하면 아뒤랑 비번이 노출될 수도 있다구요??
이거이거 문제인데;;; |
|
|
이정도 2006-05-03 PM 9:00:20 |
|
|
|
근데 스누핑 하는 유저들이 몇명이나 될까요?
(이렇게 관심갖고 하는 사람들을 빼면,.,,) |
|
|
손상진 2006-05-04 AM 11:59:56 |
|
|
|
일단 얼마나 저걸 알려들겠냐가 문제가 아니고.
노출된다는 자체가 문제가 되는거 아닐까요?
FTP프로그램으로 직접 접속해서 휘져어 놓을수도있을텐데...
그리고 FTP가.. 프로그램과 서버와의 통신용으로 만든것이 아니기에.. 암호화가 안되어있어서.. ^^.. |
|
|
이진백 2006-05-04 PM 1:34:55 |
|
|
|
개인 FTP 서버에 올리는것 자체가 말이안되는겁니다.
업데이터는... 익명 서버에 올려야죠.
다수가 접속해야 하니 당연히 anonymous로 해야겠죠
물론 http가 훨 낫습니다. urlmon.dll 혹은 winsock.dll.... |
|
|
이희창[빙고] 2006-05-04 PM 4:22:16 |
|
|
|
(왠지 아이디가 내 아이디랑 모양이 비슷한게 걱정이되는 ㅠㅠ) |
|
|
박종훈 2006-05-04 PM 5:48:41 |
|
|
|
원래, 업데이트 서버는 익명으로 하거나,
HTTP를 이용하는 것이.. 보안에 더 유리하것 같습니다.. |
|
|
지우개 Expert 3.0 제작자 : 천호성 님 [LINK] |
|
|
|
대박로또2005 제작자 : 최재일 님 [LINK] |
|
|
1 | 박종훈 님 | 15292 점 | |
2 | 지상현 님 | 8809 점 | |
3 | 손상진 님 | 7388 점 | |
4 | 권선중 님 | 6060 점 | |
5 | 이진백 님 | 5174 점 | |
|
|
|
가입일 | 닉네임 |
05/31 | 김동률 |
03/31 | 홍형기 |
09/01 | o00pp99oo |
12/27 | 이재민 |
11/20 | 이희철 |
|
|
|
|
. |
. |
. |
|