해커들이 사용하는 취약점 스캐너 중 Jorgee Security Scanner는 phpmyadmin과 같이 MySQL 관리자 애플리케이션을 탐지하는 도구입니다.
2012년 이전부터 지속적으로 탐지가 되었으며, MySQL SQL 관리기능을 표적으로 하는 웹취약점스캐너라고 입니다.
1. Payload
HEAD http://122.32.19.138:80/mysql/admin/ HTTP/1.1 404 180 "-"
User-Agent: Mozilla/5.0 Jorgee
User-Agent 문자열은 Mozilla/5.0 Jorgee를 사용하며, HTTP 요청은 HEAD http://122.32.19.138:80/mysql/dbadmin/와 같이 GET이 아니라 HEAD를 사용하면 IP주소를 이용한다는 것이 특징입니다.
※ 해결방안
1. 자사에서 작업이나 웹 취약점 점검이 있는지 확인하고 내부 사설 IP인지 판단 후, 해당 출발지 IP를 차단 및 권고조치합니다.
추가 자료
"HEAD http://122.32.19.138:80/mysql/admin/ HTTP/1.1" 404 180 "-" "Mozilla/5.0 Jorgee"
"HEAD http://122.32.19.138:80/mysql/dbadmin/ HTTP/1.1" 404 179 "-" "Mozilla/5.0 Jorgee"
"HEAD http://122.32.19.138:80/mysql/sqlmanager/ HTTP/1.1" 404 179 "-" "Mozilla/5.0 Jorgee"
"HEAD http://122.32.19.138:80/mysql/mysqlmanager/ HTTP/1.1" 404 179 "-" "Mozilla/5.0 Jorgee"
"HEAD http://122.32.19.138:80/phpmyadmin/ HTTP/1.1" 404 179 "-" "Mozilla/5.0 Jorgee"
"HEAD http://122.32.19.138:80/shopdb/ HTTP/1.1" 404 179 "-" "Mozilla/5.0 Jorgee"
"HEAD http://122.32.19.138:80/MyAdmin/ HTTP/1.1" 404 179 "-" "Mozilla/5.0 Jorgee"
"HEAD http://122.32.19.138:80/program/ HTTP/1.1" 404 179 "-" "Mozilla/5.0 Jorgee"
"HEAD http://122.32.19.138:80/PMA/ HTTP/1.1" 404 179 "-" "Mozilla/5.0 Jorgee"
"HEAD http://122.32.19.138:80/dbadmin/ HTTP/1.1" 404 179 "-" "Mozilla/5.0 Jorgee"
"HEAD http://122.32.19.138:80/pma/ HTTP/1.1" 404 179 "-" "Mozilla/5.0 Jorgee"'취약점 [Vulnerability] > 웹 취약점 (Web Vulnerability)' 카테고리의 다른 글
| [V-Web] 12. Bash shellshock 취약점 (attempt to build an ircbot bonet) (0) | 2020.06.01 |
|---|---|
| [V-Web] 11. 스캔성 웹서버 공격 (Scanable Web Server Attack) (0) | 2020.06.01 |
| [V-Web] 09. 아파치 프록시 남용 공격 (Apache Proxy Abuse) (0) | 2020.05.29 |
| [V-Web] 08. DrayTek 취약점 (DrayTek pre-auth remote root RCE) (0) | 2020.05.28 |
| [V-Web] 07. 워드프레스 admin-ajax 취약점 (0) | 2020.05.27 |
