π Secure
-
WEB-04 μ΄μ체μ λͺ λ Ήμ€ν μ μ ν κ²μ¦μ μ°¨λ₯Ό κ±°μΉμ§ μμ μ¬μ©μ μ λ ₯ κ°μ μν΄ μλνμ§ μμ μμ€ν λͺ λ Ήμ΄κ° μ€νλλ κ² μ κ² λ° νλ¨ κΈ°μ€ - μνΈ : μμμ λͺ λ Ήμ΄ μ λ ₯μ λν κ²μ¦μ΄ μ΄λ£¨μ΄μ§λ κ²½μ° - μ·¨μ½ : μμμ λͺ λ Ήμ΄ μ λ ₯μ λν λͺ λ Ήμ΄ μ€νλλ κ²½μ° μ‘°μΉ λ°©λ² - μ ν리μΌμ΄μ μ μ΄μ체μ λ‘λΆν° λͺ λ Ήμ΄λ₯Ό μ§μ μ μΌλ‘ νΈμΆνμ§ μλλ‘ κ΅¬ν, λΆλμ΄νκ² μ¬μ©ν΄μΌ ν κ²½μ° μμ€ μ½λλ μΉ λ°©νλ²½μμ νΉμλ¬Έμ, νΉμ ꡬ문μ λν κ²μ¦μ ν μ μλλ‘ μ‘°μΉ μ κ² λ°©λ² - μΉ μ ν리μΌμ΄μ μΈμκ°μ μμ€ν λͺ λ Ήμ΄ μ λ¬ μ λͺ λ Ήμ΄ μ€νλλμ§ νμΈ - μ ν리μΌμ΄μ μ μ΄μ체μ λ‘λΆν° λͺ λ Ήμ΄λ₯Ό μ§μ μ μΌλ‘ νΈμΆνμ§ μλλ‘ κ΅¬ν - λͺ λ Ήμ΄λ₯Ό μ§μ νΈμΆνλ κ²μ΄ νμν κ²½μ°μλ λ°μ΄ν°κ° OSμ λͺ λ Ήμ΄ ν΄μκΈ°μ μ λ¬λ..
μ£Όμμ 보ν΅μ κΈ°λ°μμ€ WEB-04 μ΄μ체μ λͺ λ Ήμ€νWEB-04 μ΄μ체μ λͺ λ Ήμ€ν μ μ ν κ²μ¦μ μ°¨λ₯Ό κ±°μΉμ§ μμ μ¬μ©μ μ λ ₯ κ°μ μν΄ μλνμ§ μμ μμ€ν λͺ λ Ήμ΄κ° μ€νλλ κ² μ κ² λ° νλ¨ κΈ°μ€ - μνΈ : μμμ λͺ λ Ήμ΄ μ λ ₯μ λν κ²μ¦μ΄ μ΄λ£¨μ΄μ§λ κ²½μ° - μ·¨μ½ : μμμ λͺ λ Ήμ΄ μ λ ₯μ λν λͺ λ Ήμ΄ μ€νλλ κ²½μ° μ‘°μΉ λ°©λ² - μ ν리μΌμ΄μ μ μ΄μ체μ λ‘λΆν° λͺ λ Ήμ΄λ₯Ό μ§μ μ μΌλ‘ νΈμΆνμ§ μλλ‘ κ΅¬ν, λΆλμ΄νκ² μ¬μ©ν΄μΌ ν κ²½μ° μμ€ μ½λλ μΉ λ°©νλ²½μμ νΉμλ¬Έμ, νΉμ ꡬ문μ λν κ²μ¦μ ν μ μλλ‘ μ‘°μΉ μ κ² λ°©λ² - μΉ μ ν리μΌμ΄μ μΈμκ°μ μμ€ν λͺ λ Ήμ΄ μ λ¬ μ λͺ λ Ήμ΄ μ€νλλμ§ νμΈ - μ ν리μΌμ΄μ μ μ΄μ체μ λ‘λΆν° λͺ λ Ήμ΄λ₯Ό μ§μ μ μΌλ‘ νΈμΆνμ§ μλλ‘ κ΅¬ν - λͺ λ Ήμ΄λ₯Ό μ§μ νΈμΆνλ κ²μ΄ νμν κ²½μ°μλ λ°μ΄ν°κ° OSμ λͺ λ Ήμ΄ ν΄μκΈ°μ μ λ¬λ..
2022.09.02 -
WEB-03 LDAP μΈμ μ μ¬μ©μ μ λ ₯μ κΈ°λ°μΌλ‘ LDAP ꡬ문μ ꡬμΆνμ¬ μΉ κΈ°λ° μμ©νλ‘κ·Έλ¨μ μ μ©νλλ° μ¬μ©λλ 곡격 μ κ² λ° νλ¨ κΈ°μ€ - μνΈ : μμμ LDAP 쿼리 μ λ ₯μ λν κ²μ¦μ΄ μ΄λ£¨μ΄μ Έ λ³μ‘°λ μΏΌλ¦¬κ° μ€νλμ§ μλ κ²½μ° - μ·¨μ½ : μμμ LDAP 쿼리 μ λ ₯μ λν κ²μ¦μ΄ μ΄λ£¨μ΄μ§μ§ μμ λ³μ‘°λ μΏΌλ¦¬κ° μ€νλλ κ²½μ° μ‘°μΉ λ°©λ² - μ§μ λ λ¬Έμμ΄λ§ μ λ ₯ νμ©νκ³ , μμμ LDAP쿼리 μ λ ₯μ λν κ²μ¦ λ‘μ§ κ΅¬ν μ κ² λ°©λ² - μΉ μ¬μ΄νΈμ μ¬μ©μ μΈμ κ°μ μ λ ₯ λ°λ μ ν리μΌμ΄μ ( λ‘κ·ΈμΈ νΌ , URL λ± )μ λ³μ‘° λ LDAP 쿼리 μ μ‘ ν μ€νλλμ§ νμΈ λ³΄μ μ€μ λ°©λ² - μ¬μ©μ μ λ ₯ λ°μ White Listλ‘ μ§μ νμ¬ μλ¬Έκ³Ό μ«μλ§μ νμ© - DNκ³Ό νν°μ μ¬μ©λλ μ¬μ©μ μ λ ₯ ..
μ£Όμμ 보ν΅μ κΈ°λ°μμ€ WEB-03 LDAP μΈμ μ WEB-03 LDAP μΈμ μ μ¬μ©μ μ λ ₯μ κΈ°λ°μΌλ‘ LDAP ꡬ문μ ꡬμΆνμ¬ μΉ κΈ°λ° μμ©νλ‘κ·Έλ¨μ μ μ©νλλ° μ¬μ©λλ 곡격 μ κ² λ° νλ¨ κΈ°μ€ - μνΈ : μμμ LDAP 쿼리 μ λ ₯μ λν κ²μ¦μ΄ μ΄λ£¨μ΄μ Έ λ³μ‘°λ μΏΌλ¦¬κ° μ€νλμ§ μλ κ²½μ° - μ·¨μ½ : μμμ LDAP 쿼리 μ λ ₯μ λν κ²μ¦μ΄ μ΄λ£¨μ΄μ§μ§ μμ λ³μ‘°λ μΏΌλ¦¬κ° μ€νλλ κ²½μ° μ‘°μΉ λ°©λ² - μ§μ λ λ¬Έμμ΄λ§ μ λ ₯ νμ©νκ³ , μμμ LDAP쿼리 μ λ ₯μ λν κ²μ¦ λ‘μ§ κ΅¬ν μ κ² λ°©λ² - μΉ μ¬μ΄νΈμ μ¬μ©μ μΈμ κ°μ μ λ ₯ λ°λ μ ν리μΌμ΄μ ( λ‘κ·ΈμΈ νΌ , URL λ± )μ λ³μ‘° λ LDAP 쿼리 μ μ‘ ν μ€νλλμ§ νμΈ λ³΄μ μ€μ λ°©λ² - μ¬μ©μ μ λ ₯ λ°μ White Listλ‘ μ§μ νμ¬ μλ¬Έκ³Ό μ«μλ§μ νμ© - DNκ³Ό νν°μ μ¬μ©λλ μ¬μ©μ μ λ ₯ ..
2022.09.02 -
WEB-02 ν¬λ§· μ€νΈλ§ μΈλΆλ‘λΆν° μ λ ₯λ κ°μ κ²μ¦νμ§ μκ³ , μ μΆλ ₯ ν¨μμ νμ( ν¬λ§· μ€νΈλ§ )μ κ·Έλλ‘ μ¬μ©νλ κ²½μ°μ λ°μλλ λ¬Έμ μ κ² λ° νλ¨ κΈ°μ€ - μνΈ : μμμ λ¬Έμμ΄ μ λ ₯μ λν κ²μ¦μ΄ μ΄λ£¨μ΄μ§λ κ²½μ° - μ·¨μ½ : μμμ λ¬Έμμ΄ μ λ ₯μ λν κ²μ¦μ΄ μ΄λ£¨μ΄μ§μ§ μμΌλ©°, μ€λ₯κ° λ°μνλ κ²½μ° μ‘°μΉ λ°©λ² - μΉ μλ² μμ© νλ‘κ·Έλ¨μ μ΅μ λ²μ μΌλ‘ ν¨μΉνκ³ μμμ λ¬Έμμ΄ μ λ ₯μ λν κ²μ¦ λ‘μ§ κ΅¬ν μ κ² λ°©λ² - μΉ μ¬μ΄νΈ μΈμ κ°μ μλμ κ°μ ν¨ν΄μ μ λ ₯ ν μ μ‘νμ¬ λ°νλ νμ΄μ§κ° λ€λ₯Έ μΈμκ°μ μ λ ₯νμ λλ λ°μνμ§ μλ μλ¬ λ°μμ΄λ λ©μΆλ λ± μ΄μλ°μμ 보μ΄λμ§ νμΈ ν¨ν΄ 1 - %n%n%n%n%n%n%n%n%n%n ν¨ν΄ 2 - %s%s%s%s%s%s%s%s%s%s ν¨ν΄ 3 - %..
μ£Όμμ 보ν΅μ κΈ°λ°μμ€ WEB-02 ν¬λ§· μ€νΈλ§WEB-02 ν¬λ§· μ€νΈλ§ μΈλΆλ‘λΆν° μ λ ₯λ κ°μ κ²μ¦νμ§ μκ³ , μ μΆλ ₯ ν¨μμ νμ( ν¬λ§· μ€νΈλ§ )μ κ·Έλλ‘ μ¬μ©νλ κ²½μ°μ λ°μλλ λ¬Έμ μ κ² λ° νλ¨ κΈ°μ€ - μνΈ : μμμ λ¬Έμμ΄ μ λ ₯μ λν κ²μ¦μ΄ μ΄λ£¨μ΄μ§λ κ²½μ° - μ·¨μ½ : μμμ λ¬Έμμ΄ μ λ ₯μ λν κ²μ¦μ΄ μ΄λ£¨μ΄μ§μ§ μμΌλ©°, μ€λ₯κ° λ°μνλ κ²½μ° μ‘°μΉ λ°©λ² - μΉ μλ² μμ© νλ‘κ·Έλ¨μ μ΅μ λ²μ μΌλ‘ ν¨μΉνκ³ μμμ λ¬Έμμ΄ μ λ ₯μ λν κ²μ¦ λ‘μ§ κ΅¬ν μ κ² λ°©λ² - μΉ μ¬μ΄νΈ μΈμ κ°μ μλμ κ°μ ν¨ν΄μ μ λ ₯ ν μ μ‘νμ¬ λ°νλ νμ΄μ§κ° λ€λ₯Έ μΈμκ°μ μ λ ₯νμ λλ λ°μνμ§ μλ μλ¬ λ°μμ΄λ λ©μΆλ λ± μ΄μλ°μμ 보μ΄λμ§ νμΈ ν¨ν΄ 1 - %n%n%n%n%n%n%n%n%n%n ν¨ν΄ 2 - %s%s%s%s%s%s%s%s%s%s ν¨ν΄ 3 - %..
2022.09.02 -
WEB-01 λ²νΌ μ€λ²νλ‘μ° μ μν λ³μ κ°μ΄ νμ©λλ λ²μλ³΄λ€ ν¬κ±°λ μκ² λμ λμ΄ λ¬Έμ λ₯Ό μΌμΌν€λ μΉ μ·¨μ½μ // JAVAμμ νμ©νλ μ«μ κ°μ λ²μ { System.out.println(Integer.MIN_VALUE); // -2147483648 System.out.println(Integer.MAX_VALUE); // 2147483647 } μ κ² λ° νλ¨ κΈ°μ€ - μνΈ : νλΌλ―Έν° μ λ ₯ κ°μ λλμ μΈμ κ° μ λ¬ μ μλ¬ νμ΄μ§λ μ€λ₯κ° λ°μλμ§ μλ κ²½μ° - μ·¨μ½ : νλΌλ―Έν° μ λ ₯ κ°μ λν κ²μ¦μ΄ μ΄λ£¨μ΄μ§μ§ μκ³ μλ¬ νμ΄μ§λ μ€λ₯κ° λ°μνλ κ²½μ° μ κ² λ°©λ² - μΉ μ΄ν리μΌμ΄μ μ λ§μ μΈμ κ° μ λ¬ https://hostname.com/login.asp?id=xxxxxxxxxxxxxxxxx..
μ£Όμμ 보ν΅μ κΈ°λ°μμ€ WEB-01 λ²νΌ μ€λ²νλ‘μ°WEB-01 λ²νΌ μ€λ²νλ‘μ° μ μν λ³μ κ°μ΄ νμ©λλ λ²μλ³΄λ€ ν¬κ±°λ μκ² λμ λμ΄ λ¬Έμ λ₯Ό μΌμΌν€λ μΉ μ·¨μ½μ // JAVAμμ νμ©νλ μ«μ κ°μ λ²μ { System.out.println(Integer.MIN_VALUE); // -2147483648 System.out.println(Integer.MAX_VALUE); // 2147483647 } μ κ² λ° νλ¨ κΈ°μ€ - μνΈ : νλΌλ―Έν° μ λ ₯ κ°μ λλμ μΈμ κ° μ λ¬ μ μλ¬ νμ΄μ§λ μ€λ₯κ° λ°μλμ§ μλ κ²½μ° - μ·¨μ½ : νλΌλ―Έν° μ λ ₯ κ°μ λν κ²μ¦μ΄ μ΄λ£¨μ΄μ§μ§ μκ³ μλ¬ νμ΄μ§λ μ€λ₯κ° λ°μνλ κ²½μ° μ κ² λ°©λ² - μΉ μ΄ν리μΌμ΄μ μ λ§μ μΈμ κ° μ λ¬ https://hostname.com/login.asp?id=xxxxxxxxxxxxxxxxx..
2022.09.02 -
νμΌ λ€μ΄λ‘λ μ·¨μ½μ μ μμ μΈ νμΌμ λ€μ΄λ°λκ² μλ λΉμ μμ μΈ νμΌμ λ€μ΄λ°λκ² μ μ vs λΉμ μ νμΌ μ λ‘λ μ·¨μ½μ μ μμ μΈ νμΌμ μ λ‘λ νλκ² μλλΌ λΉμ μμ μΈ νμΌμ μ λ‘λλ₯Ό ν΄μ λ€νΈμν¬ λ° μλ² μ 체λ₯Ό μ₯μ Web Shellμ΄λ μλλ ? WAF / Web Shell Moniteringμ΄λΌλ μΉ μ μ μ© λ°©νλ²½μ νμ§ μ΄λμ λ νμΌ μ λ‘λ μ·¨μ½μ μ νκ³μ μ΄ λ³΄μΈλ€ μΉ νμ΄μ§λ₯Ό ν΅ν΄ μ λͺ λ Ήμ΄λ₯Ό μνν μ μλ λꡬ PHP,JSP > Server Side Script μΈμ΄λ‘ μμ± 1μ°¨μ μΌλ‘ DBμ 보 νλ, λ΄λΆμμ€ν , λ€νΈμν¬μ λν μ 보λ νλ 2μ°¨μ μΌλ‘ λ΄λΆλ§ μΉ¨μ 3μ°¨μ μΌλ‘ μ€νΌμ€λ§κΉμ§ μΉ¨μ κ°λ₯μ±μ΄ μμ 0μμλ‘ μ κ²μ ν΄λ³΄λ κ²μ΄ νμΌ λ€μ΄λ‘λ μ·¨μ½μ 1μμ μ κ²μ ν΄λ³΄λ κ²μ΄ νμΌ ..
νμΌ μ λ‘λ μ·¨μ½μ νμΌ λ€μ΄λ‘λ μ·¨μ½μ μ μμ μΈ νμΌμ λ€μ΄λ°λκ² μλ λΉμ μμ μΈ νμΌμ λ€μ΄λ°λκ² μ μ vs λΉμ μ νμΌ μ λ‘λ μ·¨μ½μ μ μμ μΈ νμΌμ μ λ‘λ νλκ² μλλΌ λΉμ μμ μΈ νμΌμ μ λ‘λλ₯Ό ν΄μ λ€νΈμν¬ λ° μλ² μ 체λ₯Ό μ₯μ Web Shellμ΄λ μλλ ? WAF / Web Shell Moniteringμ΄λΌλ μΉ μ μ μ© λ°©νλ²½μ νμ§ μ΄λμ λ νμΌ μ λ‘λ μ·¨μ½μ μ νκ³μ μ΄ λ³΄μΈλ€ μΉ νμ΄μ§λ₯Ό ν΅ν΄ μ λͺ λ Ήμ΄λ₯Ό μνν μ μλ λꡬ PHP,JSP > Server Side Script μΈμ΄λ‘ μμ± 1μ°¨μ μΌλ‘ DBμ 보 νλ, λ΄λΆμμ€ν , λ€νΈμν¬μ λν μ 보λ νλ 2μ°¨μ μΌλ‘ λ΄λΆλ§ μΉ¨μ 3μ°¨μ μΌλ‘ μ€νΌμ€λ§κΉμ§ μΉ¨μ κ°λ₯μ±μ΄ μμ 0μμλ‘ μ κ²μ ν΄λ³΄λ κ²μ΄ νμΌ λ€μ΄λ‘λ μ·¨μ½μ 1μμ μ κ²μ ν΄λ³΄λ κ²μ΄ νμΌ ..
2022.07.21 -
μλλ¦¬μ€ κΈ°λ° μΉ¨ν¬ ν μ€νΈ μΉ μλ² κ΅¬μ± - λ€νΈμν¬ ν ν΄λ‘μ§ - μλ² κ΅¬μ±λ - νκ² μ 보 - 보μ μ μ± μΉν΄νΉ / 리λ²μ± SQL Injection - SQL Injection 곡격 μ μ - SQL Injection 곡격 λͺ©μ - SQL Injection λ°μ μμΈ ---------------------------------------β³ 3~4νμ΄μ§ - SQL Injection 곡격 κ³Όμ λ° μ’ λ₯ > - νκ²μΌλ‘ ν νμ΄μ§ 곡격 content blind , response blind - λμ λ°©μ ( μλͺ»λ λμ λ°©μ - λ©΄μ λ³Ό λ λ°λ‘ μ΄μΌκΈ°ν΄λ λ¨ ) XSS - XSS 곡격 μ μ - XSS 곡격 λͺ©μ - XSS λ°μ μμΈ - XSS 곡격 κ³Όμ λ° μ’ λ₯ > - νκ²μΌλ‘ ν νμ΄μ§ 곡격 - λμ λ°©μ..
ν¬νΈν΄λ¦¬μ€μλλ¦¬μ€ κΈ°λ° μΉ¨ν¬ ν μ€νΈ μΉ μλ² κ΅¬μ± - λ€νΈμν¬ ν ν΄λ‘μ§ - μλ² κ΅¬μ±λ - νκ² μ 보 - 보μ μ μ± μΉν΄νΉ / 리λ²μ± SQL Injection - SQL Injection 곡격 μ μ - SQL Injection 곡격 λͺ©μ - SQL Injection λ°μ μμΈ ---------------------------------------β³ 3~4νμ΄μ§ - SQL Injection 곡격 κ³Όμ λ° μ’ λ₯ > - νκ²μΌλ‘ ν νμ΄μ§ 곡격 content blind , response blind - λμ λ°©μ ( μλͺ»λ λμ λ°©μ - λ©΄μ λ³Ό λ λ°λ‘ μ΄μΌκΈ°ν΄λ λ¨ ) XSS - XSS 곡격 μ μ - XSS 곡격 λͺ©μ - XSS λ°μ μμΈ - XSS 곡격 κ³Όμ λ° μ’ λ₯ > - νκ²μΌλ‘ ν νμ΄μ§ 곡격 - λμ λ°©μ..
2022.07.19