4-2. 2024-1 심화 스터디 (46) 썸네일형 리스트형 [2주차] Broken Access Control 취약점 분석/실습 Broken Access Control (접근 제어 오류)권한이 없는 사용자가 민감한 데이터나 시스템에 접근할 수 있도록 허용하는 취약점. 인증 및 권한 부여가 제대로 구현되지 않았거나 이러한 제어가 실행되는 방식에 취약점이 있을 때 발생한다.사용자별 접근 제어가 제대로 적용이 되지 않는 취약점주어진 권한을 벗어난 행동을 야기함관리자 페이지 등에 공격자가 접근할 수 있음[공격 방법]1. Brute Force완전 탐색 알고리즘. 가능한 모든 경우의 수를 모두 탐색하면서 요구조건에 충족되는 결과만을 가져온다. 이 알고리즘은 예외 없이 100%의 확률로 정답만을 출력한다. (순차탐색, 깊이 우선 탐색, 너비 우선 탐색 사용) 때문에 툴을 사용해 가능한 모든 경우의 수를 다 탐색한 후 pw를 찾아낼 수 있게 된.. [1주차] OWASP top 10 & DVWA 환경 구축 OWASP top 10 DVWA 환경 구성 참고 자료 https://github.com/digininja/DVWA GitHub - digininja/DVWA: Damn Vulnerable Web Application (DVWA)Damn Vulnerable Web Application (DVWA). Contribute to digininja/DVWA development by creating an account on GitHub.github.com kali에 설치git clone https://github.com/digininja/DVWA sudo mv DVWA /var/www/html cd /var/www/html ls sudo service apache2 start서버 완료 cd DVWA ls ls c.. [1주차]2024.03.14 - 챌린지로 알아보는 디지털 포렌식 해킹 대회 준비 보호되어 있는 글입니다. [1주차] 2024.03.11 - Web War Game Write Up CTF Cite https://play.picoctf.org #관련 개념 정리 1. SQL Injection 1.1 정의 데이터 베이스와 연동된 웹에서 임의의 SQL 문을 주입하여 비정상적인 동작을 하도록 조작해서 정보를 알아내는 공격 기법 1.2 발생 원인 주로 입력한 데이터를 제대로 필터링하지 못했을 때 발생 1.3 관련 프로그램 (DB) MySQL, SQLite 등 1.4 일반적인 구문&구조 * 프로그램별 정보 가져 오는 방법 1.4.1 메타 데이터의 테이블; information_schema 1.4.2 테이블 정보; SELECT table_name FROM information_schema.tables 1.4.3 칼럼 정보; SELECT column_name FROM information_sche.. [악성코드 분석 개요] 분석할 악성코드: 에드웨어, Conti 랜섬웨어, LockBit 악성코드, KPOT 악성코드 각 악성코드에 대한 간단 요약 에드웨어 소프트웨어 자체에 광고를 포함하거나 아니면 같이 묶어서 배포하는 것 프로그래머가 소프트웨어를 개발하면서 개발 비용을 애드웨어를 통해서 충당할 목적으로 주로 사용 어떤 경우는 사용자가 무료 또는 아니면 할인된 가격으로 프로그램을 사용하도록 하는 조건으로 광고를 삽입 광고를 통해 얻은 수입은 프로그래머가 소프트웨어 제품을 작성, 유지 또는 업그레이드를 할 수 있는 동기를 부여 Conti 랜섬웨어 비지니스 환경 대상으로 하는 파일 암호화 랜섬웨어 LockBit 악성코드 2022년에 전 세계에서 가장 많이 배포된 랜섬웨어 변종 금융 서비스, 식품 및 농업을 포함한 다양한 중요 인프.. AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안-1 클라우드 서비스 개념 1. 클라우드 서비스란? SaaS(Software-as-a-Service) SaaS 애플리케이션이 클라우드 서버에 올라온 상태에서 호스팅 서비스 형태로 제공 필요한 애플리케이션이 구축된 상태라 구축된 서비스를 임대한다는 개념 소프트웨어. ex)google apps, dropboxs, salesforce, whatap 웹에 올라와 있는 그대로 쓰는 워드 같은 것들 웹 브라우저를 통해 직접 실행되므로 클라이언트 측에서 다운로드나 설치할 필요가 없다. PaaS(Platform-as-a-Service) 자체 애플리케이션을 구축하는 데 필요한 비용을 지불하는 서비스 형태로 제공 개발 도구, 인프라, 운영 체제를 포함한 애플리케이션 구축에 필요한 모든 것을 인터넷을 통해 제공 ex) googl.. 이전 1 ··· 3 4 5 6 다음
