Warning.or.kr-취약점 파악-

UNIST HeXA 김민규

이 프레젠테이션에서 소개하는 내용은 불법 도박이나무허가 의료기기 판매, 상표권·저작권 침해 등 현행법령에서 금지하는 행위를 조장하기 위한 것이 아닙니다.

해당 웹사이트 접속으로 인해 발생할 수 있는 모든 정신적·물질적인 피해나 민·형사상 책임에 대해 보상이나 책임질 의무를 지지 아니합니다.

자기소개이름: 김민규

UNIST 재학중(12)

HeXA 전 부회장

컴퓨터 좋아합니다

warning.or.kr?

불법, 유해 사이트

불법, 유해 사이트

How?어떻게 막을까?

???????어디로 보내지?

???????어디로 보내지?

여기야 여기!

Ip: 8.20.213.73

아하!!

여기야 여기!

Ip: 8.20.213.73

DNS 서버가 하는 일

도메인 > ip

DNS

DATA

8.20.213.73

DNS BLACKLIST

www.grooveshark.com

.....

.....

DNS BLACKLIST

www.grooveshark.com

.....

.....

DNS BLACKLIST

www.grooveshark.com

.....

.....

어떻게 우회할까?

VPN

패킷 헤더 조작

VPN-Virtual Private Network-

DNS해외VPN

장점:해외 서버를 거치기 때문에 ip차단도 우회 가능

단점:속도가 느리다.

해외 서버 상태가 수시로 바뀔 수 있다.

VPN

패킷 헤더 조작

패킷?

네트워크의 기본 전송 단위!

GET http://www.naver.com/ HTTP/1.1

Host: www.naver.com

Proxy-Connection: keep-alive

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko)

Chrome/39.0.2171.65 Safari/537.36

Accept-Encoding: sdch

Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4

우리가 주목할 부분

네이버에 접속할 때 보내는 패킷

POST http://grooveshark.com/more.php?markSongQueueSongPlayed HTTP/1.1

Host: grooveshark.com

Proxy-Connection: keep-alive

Content-Length: 625

Origin: http://grooveshark.com

X-Requested-With: ShockwaveFlash/15.0.0.223

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko)

Chrome/39.0.2171.65 Safari/537.36Content-Type: application/json

Accept: */*

Referer: http://grooveshark.com/static/JSQueue_20141117220424.swf

Accept-Encoding: gzip, deflate

Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4

Cookie: _ga=GA1.2.500785348.1416553283; ismobile=no; _gat=1;

PHPSESSID=5f3c1af11916099ea0ea2da0bf7d5bf7

POST http://grooveshark.com/more.php?markSongQueueSongPlayed HTTP/1.1

Host: grooveshark.com

Proxy-Connection: keep-alive

Content-Length: 625

Origin: http://grooveshark.com

X-Requested-With: ShockwaveFlash/15.0.0.223

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko)

Chrome/39.0.2171.65 Safari/537.36Content-Type: application/json

Accept: */*

Referer: http://grooveshark.com/static/JSQueue_20141117220424.swf

Accept-Encoding: gzip, deflate

Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4

Cookie: _ga=GA1.2.500785348.1416553283; ismobile=no; _gat=1;

PHPSESSID=5f3c1af11916099ea0ea2da0bf7d5bf7

\n

POST http://grooveshark.com/more.php?markSongQueueSongPlayed HTTP/1.1

Host: grooveshark.com

Proxy-Connection: keep-alive

Content-Length: 625

Origin: http://grooveshark.com

X-Requested-With: ShockwaveFlash/15.0.0.223

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko)

Chrome/39.0.2171.65 Safari/537.36Content-Type: application/json

Accept: */*

Referer: http://grooveshark.com/static/JSQueue_20141117220424.swf

Accept-Encoding: gzip, deflate

Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4

Cookie: _ga=GA1.2.500785348.1416553283; ismobile=no; _gat=1;

PHPSESSID=5f3c1af11916099ea0ea2da0bf7d5bf7

엔터를 친다(라인피드 – Line feed)

통과한다!

왜 그럴까?

Why?

DNS BLACKLIST

www.grooveshark.com

.....

.....

DNS BLACKLIST

www.grooveshark.com

.....

.....

DNS BLACKLIST

www.grooveshark.com

.....

.....

???????

DNS BLACKLIST

www.grooveshark.com

.....

.....

???????

8.20.213.73

DATA

응용해봅시다

Proxy

안녕!정상이군....

다른 방법은없을까?

막을 방법은?-패킷 재조합-

감사합니다참고: bitbucket.org/jochangmin/hacked-urllib2