-
클라우드 보안
[2025.04.04] 뭉게뭉게_3주차 활동
3주차에는 인프런 강의 섹션 5, 6을 공부했다.https://inf.run/5quxH AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안 강의 | 보안프로젝트 - 인프런보안프로젝트 | , 보안 실무에 꼭 필요한 기초를 완성하세요! 👨🔧 Cloud Security? [사진] IT 서비스가 클라우드 환경으로 전환되면서클라우드 환경 보안의 중요성이점점 더 커지고 있습니다. 우www.inflearn.com CloudFormation 자동화 배포1) CloudFormation 정의: json, yaml 등으로 코딩하여 자동 배포할 수 있는 도구AWS 인프라 리소스를 서로 긴밀하게 통합할 수 있으며, AWS에서만 활용 가능테라폼(Terraform)은 여러 클라우드 서비스에서 활용 가능템플릿으로 생성..
- 2) 개념 정리 [2025.04.04] 3주차 활동_Pwnabless 참고 강의: 드림핵(DreamHack) - System Hacking System Hacking dreamhack.ioSTAGE 5. Stack Buffer Overflow[ 함수 호출 규약 ]함수의 호출 및 반환에 대한 약속(함수 호출 시 반환된 이후를 위해 호출자(Caller)의 상태(Stack Frame) 및 반환 주소(Return Address)를 저장해야 함) 호출자는 1. 피호출자(Callee)가 요구하는 인자를 전달해줘야 함2. 피호출자의 실행이 종료될 때는 반환값을 전달받아야 함한 함수에서 다른 함수 호출 시프로그램 실행 흐름 → 다른 함수로 이동호출한 함수가 반환하면다시 원래 함수로 돌아와서 기존의 실행 흐름 이어감 ※ 함수 호출 규약 적용은 컴파일러의 몫이기 때문에 컴파일러의..
-
cve 취약점 분석
[CVA-2025-0329] CVA_2주차_활동
1.1. CVE-2020-1938 Apache Tomcat-Ajp 프로토콜 취약점AJP 프로토콜은 웹 서버에서 받은 요청을 어플리케이션 서버로 전달해주는 프로토콜Apache Tomcat에서 AJP 프로토콜을 이용해 /webapps/ROOT 디렉터 리 하위 파일을 읽을 수 있는 원격 코드 실행 취약점웹 어플리케이션 프로그램의 파일 업로드 및 저장을 이용하여 악성 jsp 코드를 업로드하면 원격 코드 실행이 가능 2. 영향 받는 소프트웨어 버전-Tomcat: HTTP Connector가 HTTP 프로토콜의 기본 포트인 8080으로 클라이언트에게 노출되고 AJP는 서버 사이에서 내부적으로 사용되어 기본 포트로 8009를 사용함. 취약한 버전의 Tomcat 설치 시에는 8009 포트가 기본적으로 활성화..
-
2) 개념 정리
[25.04.04]웹 떠봐요 2주차 활동
1. SQL Injection SQL Injection은 웹 애플리케이션에서 사용자 입력을 적절히 검증하지 않을 경우 발생하는 보안 취약점이다. 공격자는 악의적인 SQL 쿼리를 주입하여 데이터베이스의 정보를 조회하거나 조작할 수 있다. 2. SQL Injection 유형SQL Injection은 다양한 방식으로 발생할 수 있으며, 대표적인 유형은 다음과 같다. 1) Union-based SQL InjectionUNION SELECT구문을 활용하여 추가적인 데이터를 조회하는 방식예시: ' UNION SELECT username, password FROM users --이 공격을 통해 다른 테이블의 정보를 가져올 수 있음2) Boolean-based Blind SQL Injection참/거짓 결과에 따라 ..
-
2) 개념 정리
[2025.03.29] 리버싱난다_2주차 활동
참조 강의: 유튜브 Fin 강의 5강. 스택 (Stack)스택의 역할1. 함수 내 변수 임시저장2. 함수 호출 시 매개변수(파라미터) 전달3. 복귀 주소 저장 스택의 특징FILO (First - In - Last - Out) 선입후출 방식Push: 스택에 데이터를 넣는 작업Pop: 스택에 마지막으로 들어온 데이터를 빼는 작업Top: 스택의 가장 위에 들어있는 값Bottom: 스택의 가장 아래에 들어있는 값 스택에서 중요한 레지스터ESP: 스택 포인터, 유동적으로 값이 바뀜EBP: ESP의 값을 저장해 둠, 부동적인 레지스터 6강. 스택 프레임 (Stack Frame)EBP를 이용하여 스택 내의 변수 파라미터 복귀 주소에 접근하는 기법 예시 어셈블리 코드)Push EBP // EBP 스택에 백업MOV ..
