| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 |
- KAKAO
- Rocky Linux
- Spring Boot
- colab
- git
- GoogleDrive
- VSCode
- suricata
- cloud
- 인터넷의이해
- Machine Learning
- Resnet
- ChatGPT
- Spring
- LINUX MASTER
- Python
- 코딩도장
- 국가과제
- API
- Web
- OSS
- ICT멘토링
- Powershell
- 고등학생 대상
- Github
- rnn
- 크롤링 개발
- Database
- C언어
- Docker
- Today
- Total
목록vulnerability (6)
코딩두의 포트폴리오
Burp Suite - 세계에서 가장 널리 사용되는 웹 취약성 스캐너버프: 웹 기반 애플리케이션의 보안을 평가하고 실습 테스트를 수행하는 데 사용되는 프록시 기반 도구 [참고 자료]https://grini25.tistory.com/202 0. Burp Suite 설치 및 사용방법0. 다운로드 1. 실행 2. Burp Suite 기본 설정 3. Burp Suite 기능 # Dashboard # Target # Proxy # Intruder # Repeater # Sequencer # Decoder # Comparer # Extender 4. Reference 0. 다운로드 Burp Suite는 Fiddler와 마찬가지인 웹 프록시grini25.tistory.com
운영체제 명령 실행 (Command Injection)
KISA 가이드 운영체제 명령 실행(Command Injection)이란?사용자 입력 값에 의해 시스템 명령어가 실행되는 취약점사용자 입력 폼, 쿠키, 파라미터, HTTP 헤더 등을 시스템 셸에 전달할 때 공격이 발생 점검 방법웹에서 전달되는 파라미터 값에 공개적으로 알려진 운영체제 명령 실행 코드 삽입명령어 실행되는지 확인 [삽입할 명령어]example/X.action?action:%25{3\*4}example/X.action?action:%25{3\*4}example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String\[\]{'command','goes','here'})).start()}
LDAP 인젝션 (LDAP Injection)
KISA 가이드 LDAP 인젝션사용자 입력값이 LDAP Query를 구성할 때 이를 이용해 비정상적인 LDAP 동작을 유도하는 공격이로 인해 검증되지 않은 쿼리에 대한 사용 권한 부여 및 LDAP 트리 내의 내용 수정과 같은 임의 명령이 실행될 수 있다. 공격에 자주 사용되는 페이로드**)(&*))%00)(cn=))\x00*()|%26'*()|&'*(|(mail=*))*(|(objectclass=*))*)(uid=*))(|(uid=**/**|/////*@*|admin*admin*)((|userpassword=*)admin*)((|userPassword=*)x' or name()='username' or 'x'='y로그인의 ID와 Password에 삽입되는 경우가 많음위 페이로드를 보면 삽입 시 (uid=..
포맷 스트링 (Format String)
KISA 가이드 포맷스트링(Format String)이란?사용자로부터 입력을 받아들여 결과를 출력하기 위해 사용하는 형식포맷스트링을 사용하는 함수에 대해 형식이나 형태를 지정해주는 문자열print() 같은 특정 함수들에서 검사되지 않은 사용자 입력을 포맷 스트링 파라미터로 사용하는 것으로부터 파생 포맷스트링 취약점 점검 방법웹 서버(web server)의 버전을 낮은 버전이 아닌 상위버전으로 올리기파라미터에 대해 유효성 검증 추가
버퍼 오버플로우(Buffer Overflow)
KISA 가이드 버퍼 오버플로우란? 버퍼에 데이터를 쓰는 소프트웨어가 버퍼의 용량을 초과하여 인접한 메모리 위치를 덮어쓸 때 발생하는 비정상적인 현상공간이 충분하지 않은 컨테이너에 너무 많은 정보가 전달되어 해당 정보가 인접 컨테이너의 데이터를 대체 버퍼란?버퍼는 데이터를 다른 장소로 이동하는 동안 임시로 저장하는 데 사용되는 물리적 메모리 저장 영역 버퍼 오버플로우 악용공격자는 신중하게 조작된 입력을 프로그램에 의도적으로 삽입프로그램이 해당 입력을 충분히 크지 않은 버퍼에 저장하도록 하여 버퍼 공간에 연결된 메모리 일부를 덮어씌움프로그램의 메모리 레이아웃이 잘 정의되어 있다면 공격자는 실행 코드가 포함된 것으로 알려진 영역을 의도적으로 덮음공격자는 이 코드를 자신의 실행 코드로 대체하여 프로그램의 작동..
취약점(vulnerability)
취약점이란?공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점컴퓨터 시스템, 네트워크, 소프트웨어 등에서 발견할 수 있는 보안 결함 취약점 유형소프트웨어 취약점프로그래밍 오류, 설계의 결함 등으로 발생공격자가 시스템을 손상, 민감한 정보에 접근 가능 네트워크 취약점네트워크 설정 오류, 프로토콜 약점 등으로 발생불법적 접근, 데이터 유출 초래 운영체제 취약점운영 체제 결함, 약점으로 공격자 권한 상승 및 시스템 제어 가능 물리적 취약점보안 시스템의 물리적 약점으로 물리적 침입, 기기 절도 발생 가능 웹 취약점웹 사이트, 웹 애플리케이션에서 발견될 수 있는 취약점공격자가 데이터 도용, 시스템 무단 접근, 서비스 방해 등의 악의적 행위 가능 취약점 종류소프트웨어 취약점버퍼 오버플로우: 프로그램이 예상치 못한..