WPAD(Web Proxy Auto Discovery)는, ISA서버와 같은 방화벽을 사용하는 환경에서 클라이언트의 브라우저의 프록시 설정을 자동화하는 편리한 기능이나, 구조상의 취약점으로 인해 MITM(man-in-the-middle)공격에 노출될 수 있다.
WPAD에 대해 더 자세한 내용을 알고자 한다면 아래의 Wiki페이지를 참고할 것
-> http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
<공격방식>
조작된 WPAD파일을 통해, 공격자의 프록시에 사용자의 브라우저를 지정하고, 사용자로 부터 발생되는 웹 트래픽을 모두 차단/수정할 수 있게된다.
아래에는 최근에 보고된 WPAD MITM 공격에 대한 참고자료이다. (Metasploit 활용)
http://www.netresec.com/?page=Blog&month=2012-07&post=WPAD-Man-in-the-Middle
<조치방법>
◆ 개인 PC 사용자의 경우
: Disabling the "Automatically detect settings" checkbox
◆ 다수의 PC를 관리하는 관리자의 경우
: "Automatically detect settings"기능을 쉽게 Enable/Disalble 할수 있게 생성한 레지스트리 키파일과 vbs배치파일을 이용하여 일괄 조치한다. (다수의 클라이언트 시스템에 일괄 조치하기 위해서는 아래의 파일을 이용하는 것이 효과적일 것으로 생각된다.)
[배치파일]
- Check-AutoDectSet.vbs (Enable)
- Uncheck-AutoDectSet.vbs (Disable)
[레지스트리 키파일]
- CheckAutoDetectSet.reg
- UncheckAutoDetectSet.reg
IE Automatically Detect Settings.zip
(위 파일은 암호로 보호되어 있습니다. )
'보안 > 공격기술' 카테고리의 다른 글
| 취약점 분석 미니맵(단계별 주요이슈 도식도) (0) | 2012.10.11 |
|---|---|
| [web scan] bing-ip2hosts 소개 (0) | 2012.09.27 |
| [web scan] WhatWeb 웹스캔 소개 (0) | 2012.09.27 |
| [sql injection]sqlmap (0) | 2012.09.26 |
| [sql injection]Blind SQL Injection Perl Tool(bsqlbf) (0) | 2012.09.25 |
