분류 전체보기 (591) 썸네일형 리스트형 [2023.10.07] 드림핵 웹해킹 서버/클라이언트(스테이지 4개) 1 Sever Side Template Injection (SSTI) 웹 어플리케이션에서 동적인 내용을 HTML 로 출력할 때 미리 정의한 Template 에 동적인 값을 넣어 출력하는 Template Engine 을 사용하기도 한다. 예를 들어 내 정보를 출력해주는 페이지가 있다면 아래 코드처럼 Template 을 만들어 놓고 변수를 넣어 동적으로 HTML 을 만들 수 있다. Language Template Engine Python Jinja2, Mako, Tornad ... PHP Smarty, Twig, .... JavaScript Pug, Marko, EJS ... 사용자의 입력 데이터가 Template 에 직접 사용될 경우 template Emgine 이 해석하여 실행하는 문법을 사용할 수 있다 -.. [2023.09.30]드림핵 웹해킹 로드맵 수강 - 스테이지 3개 Command Injection Injection: 악의적인 데이터를 프로그램에 입력하여 이를 시스템 명령어, 코드, 데이터 베이스 쿼리 등으로 실행되게 하는 기법 Command Injection: 이용자의 입력을 시스템 명령어로 실행하게 하는 취약점이며 명령어를 실행하는 함수에 이용자가 임의의 인자를 전달할 수 있을 때 발생 Meta Character: 특수한 의미를 가진 문자 Command Injection은 명령어를 실행하는 함수에 이용자가 임의의 인자를 전달할 수 있을 때 발생한다. 웹 개발 과정에서 시스템 함수를 사용하면 이용자의 입력을 소프트웨어의 인자로 전달할 수 있다. 그러나 이러한 시스템 함수를 사용할 때 이용자의 입력을 제대로 검사하지 않고 실행하게 되면 임의 명령어가 동작할 수 있다... [2023.11.11] 디지털 포렌식 기초 & [SUNINATAS] 19번 문제 보호되어 있는 글입니다. [2023.09.23]드림핵 웹해킹 로드맵 수강 - 스테이지 5개 Web 웹: HTTP를 이용한 정보 공유 서비스 웹 서버: 정보를 제공하는 주체 웹 클라이언트: 정보를 받는 이용자 프론트엔드: 이용자 요청을 받는 부분, 이용자에게 직접 보여진다 -> 웹 리소스로 구성 백엔드: 요청 처리하는 부분 예) http://dreamhack.io/index.html-> dreamhack.io에 존재하는 /index.html 경로의 리소스를 가져오라는 의미이다. 웹 리소스는 고유의 url을 가지며 html, css, javascript 등이 대표적 Javascript로 작성된 웹 리소스는 서버에서 실행되고, 그 결과가 클라이언트 웹 리소스에 반영된다. -> X 브라우저는 이용자의 요청을 해석하여 웹 서버에 HTML형식으로 전달한다. -> X HTTP/HTTPS -인코딩을 이용하여.. [4주차]웹보안- 파일 다운로드/업로드 취약 보호되어 있는 글입니다. [2023.11.11] 인프런 윈도우 악성코드(malware) 분석 입문 과정 강의 수강 - 섹션 4 5.1 악성코드 주요 행위 분석 1 - API, 파일시스템 윈도우 API 대부분의 악성코드는 윈도우 플랫폼에서 동작 운영체제와 밀접하게 상호작용 핸들(Handle) 윈도우, 프로세스, 모듈, 메뉴, 파일 등과 같이 운영체제에서 오픈되거나 생성 객체나 메모리 위치를 참조한다는 점에서 포인터와 같음 핸들요청 객체생성 핸들반환 객체조작요청 파일 시스템 함수 악성코드가 시스템과 상호작용하는 가장 일반적인 방식은 파일을 생성하거나 수정해 파일명을 구별하거나 기존 파일명을 변경 식별자로 사용 가능 파일을 생성해 그 파일에 웹 브라우징 내용을 저장한다면 해당 스파이웨어 형태일 가능성이 높음 함수 설명 CreateFile 파일을 생성하고 열 때 사용 기존 파일, 파이프, 스트림, I/O 장치를 열고 새로운 파일을 생성.. [클라우드 보안 취약점] 11.10 활동 보호되어 있는 글입니다. [2023.11.11] 포너블 5주차 팀활동 보호되어 있는 글입니다. 이전 1 ··· 21 22 23 24 25 26 27 ··· 74 다음
