jisu0924 님의 블로그

Command Injection 인젝션이란?악의적 데이터를 프로그램에 입력하여 시스템 명령어, 커드, 데이터베이스 쿼리 등으로 실행되게 하는 기법 -> 이중 이용자의 입력을 시스템 명령어로 실행하게 하는 취약점 => Command Injection 명령어를 실행하는 함수에 이용자가 임의의 인자를 전달할 수 있을 때 발생 '' - 명령어 치환: '' 안에 들어 있는 명령어를 실행한 결과로 치환$() - 명령어 치환: $() 안에 들어 있는 명령어를 실행한 결과로 치환 -> 중복 사용 가능&& - 명령어 연속 실행: 한 줄에 여러 명령어 사용하고 싶을 때 사용 -> 앞에서 에러가 나지 않아야 뒷 명령어 실행|| 명령어 연속 실행: 한 줄에 여러 명령어를 사용하고 싶을 떄 사용 -> 앞에서 에러가 나지 않아야..

접속화면은 이렇다. 화면에 flag.php가 있어서 해당 url로 접속해 보았는데 라고만 뜨고 아무것도 안 떴다. hello.php도 마찬가지 다만 처음에 사이트에 접속하면 다음과 같은 file=?의 url로 연결이 되고 이 url을 바탕으로이 부분이 채워지는 듯 하다. 현재 file이 hello로 되어 있어 file 안에 들어 있는 hello world를 출력해 주고, file이 flag일 시아까 보았던 문자열을 출력해 주는 것을 볼 수 있었다. 즉 이 문제는 파일을 읽어서 출력해 주는 문제인 것 같다. GPT 한테 물어 보니 file 파라미터를 통해 서버에서 특정 파일을 불러와 보여주는 구조라고 했다. 예를 들어,webhacking.kr:10001/?file=hello라는 요청을 보내면 hello.p..

wrapper 클래스란?기본 자료형을 참조형 자료처럼 사용하기 위한 클래스기본 자료형: int, float, char, boolean과 같은 자료형. 정적 타이핑으로 작성되는 언어참조형 자료형: 기본 자료형을 기초로 하여 만들어진 자료형. String, Araay, Map 등과 같은 클래스와 인터페이스, 열거형이 해당 => 컴퓨터 메모리에 저장된 데이터를 간접적으로 접근할 수 있는 값(=주소값)을 식별하고 저장하는 방식기본 자료형참조 자료형byteString(문자열)shortArray(배열)intEnumeration(열거)longClass(클래스)floatInterface(인터페이스)double char boolean  기본 자료형을 감싸는 클래스-> 기본 자료형의 값을 감싸 객체형태로 만든 것-> 불변..

*본 글은 EST SECURITY의 영화로 보는 사이버 위협과 통합보안의 필요성(https://blog.alyac.co.kr/5548)를 바탕으로 작성한 글임영화 속 디지털 사회를 위협하는 '파이어 세일'해커 집단은 금융 시스템, 교통, 전력, 통신망과 같은 국가 인프라를 모두 해킹 -> '파이어 세일' 파이어 세일이란?국가기반시설에 대한 사이버 테러리스트의 3단계에 걸친 체계적인 공격 -> 국가 전체를 혼란에 빠뜨리는 사이버 공격1단계: 교통기관 시스템 마비2단계: 금융망과 통신망 마비3단계: 가스/수도/전기/원자력 체계의 마비=> 동시 공격은 불가하지만 개뱔 시스템 마비는 가능' 공격 단계 및 매커니즘금융 시스템 교란: 은행 계좌 접근 차단, 증권거래소 시스템 마비, 금융 데이터 암호화 및 삭제교통..

position의 속성> position: static -> 기본값(이동 불가)> position: relative> position: abslute> position: fixed> position: stickyrelative란?- 자기 자신을 기준으로 이동absolute란?- 이름과 같이 절대적 위치에 둘 수 있음.- 부모를 기준으로 이동- absolute를 쓸 경우, 기준이 될 부모에게 relative를 부여하고 원하는 위치에 지정fixed란?- viewpoint를 기준으로 고정sticky란?- 스크롤 영역 기준으로 배치- 부모 컨테이너 안에서 스크롤링 시 스크롤링 방향에 따라 지정된 포지션에서 유지parseInt() 함수 parseInt(string, radix)파라미터> string: 숫자로 변환..

https://www.dbpia.co.kr/pdf/pdfView.do?nodeId=NODE11039823 웹취약점 자동진단 개선방안 | DBpia김태섭, 조인준 | 한국콘텐츠학회논문지 | 2022.2www.dbpia.co.kr현황스마트폰 기술의 발전 -> 홈체이지와 모바일 앱을 통해 정보 습득 가능정보제공 담당하는 홈페이지의 수와 침해사고 신고접수가 증가 -> 홈페이지의 안전성을 진단하는 웹취약점 진단 신청수도 매년 증가하는 상황 문제점진단원의 수가 한정적 -> 모든 페이지를 모의해킹으로 안전성 진단을 수행하기에는 한계점이 존재-> 웹취약점 자동진단을 통해 수동진단에 소요되는 시간 감소시킬 필요성 자동진단의 경우:진단 시 프로그램에 설정된 점검항목을 홈페이지에 전송하여 취약 여부 파악 -> 홈페이지 구성..

접속하면 이런 빨간 선과 중간에 회색선이 보이고, 왼쪽 O와 오른쪽에 Goal이 있는 것을 볼 수 있었다. 저 O에 마우스를 가져다 대면이런식으로 O가 yOu로 바뀌는 것을 볼 수 있었다. 이것을 우클릭 하면 맨 왼쪽에 있었던 O가 점점 오른쪽으로 옮겨 가는 것을 볼 수 있었다. 소스 코드를 확인해 보았다.O||||Goalno hack보니 id가 'hackme' 로 되어 있었다. 얘를 건들이는 문제인 듯? style을 보니 포지션이 relative이었다.position의 속성> position: static -> 기본값(이동 불가)> position: relative> position: abslute> position: fixed> position: stickyrelative란?- 자기 자신을 기준으로 ..

본 글은 IGLOO의 [보안 101] 공격 표면 관리(ASM)란 무엇인가요?(https://www.igloo.co.kr/security-information/%eb%b3%b4%ec%95%88-101-%ea%b3%b5%ea%b2%a9-%ed%91%9c%eb%a9%b4-%ea%b4%80%eb%a6%acasm%eb%9e%80-%eb%ac%b4%ec%97%87%ec%9d%b8%ea%b0%80%ec%9a%94/)를 바탕으로 작성된 글임.)ASM(공격 표면 관리)이란?IT 환경에서 외부 공격자가 노릴 수 있는 기업, 기관의 모든 디지털 자산과 취약점인 공격 표면을 지속적으로 식별, 분석, 모니터링해 보안 위협을 최소화하는 보안 프로세스 및 기술 기업이 보유한 IT 자산( 클라우드 환경, 애플리케이션, 네트워크, I..