태군 코드 : Security, travel & communication

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A7 - SQLiteManager Local File Inclusion lfi_sqlitemanager.php 페이지는 SQLiteManager에서 발생하는 취약점으로 아래의 내용을 참고하시기 바랍니다. https://securitycode.tistory.com/202?category=1030252 SQLiteManager 1.2.4 XSS 취약점 (CVE-2012-5105) 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A7 - Host Header Attack (Reset Poisoning) Password Reset Poisoning 생성된 비밀 토큰을 사용하는 암호 재설정 링크를 만들 때 암호 재설정 기능에 호스트 헤더 값이 포함되는 것이 일반적입니다. 응용 프로그램이 공격자가 제어하는 도메인을 처리하여 암호 재설정 링크를 만드는 경우 공격 대상자는 전자 메일의 링크를 클릭하고 공격자가 재설정 토큰을 얻을 수 있도록 허용하여 피해자의 암호를 재설정할 수 있습니다. hostheader_2.php 페이지를 살펴보면 비밀번호를 재설..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A7 - Host Header Attack (Cache Poisoning) HTTP Host Header HTTP 호스트 헤더는 HTTP/1.1부터 필수 요청 헤더입니다. 클라이언트가 액세스하려는 도메인 이름을 지정합니다. 예를 들어 사용자가 http://localhost/bWAPP/hostheader_1.php 사이트에 방문하게 되면 브라우저는 다음과 같이 Host 헤더가 포함된 요청을 작성합니다. GET /bWAPP/hostheader_1.php HTTP/1.1 Host: localhost 웹 서버는 일반적으로 ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A7 - Directory Traversal - Files Directory Traversal 디렉터리 탐색(파일 경로 탐색이라고도 함)은 공격자가 응용 프로그램을 실행하는 서버에서 임의의 파일을 읽을 수 있도록 하는 웹 보안 취약점입니다. 여기에는 애플리케이션 코드 및 데이터, 백엔드 시스템에 대한 자격 증명, 민감한 운영 체제 파일이 포함될 수 있습니다. 경우에 따라 공격자가 서버의 임의 파일에 쓸 수 있어 응용 프로그램 데이터나 동작을 수정하고 궁극적으로 서버를 완전히 제어할 수 있습니다. Directory L..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A7 - Directory Traversal - Directories Directory Traversal 디렉터리 탐색(파일 경로 탐색이라고도 함)은 공격자가 응용 프로그램을 실행하는 서버에서 임의의 파일을 읽을 수 있도록 하는 웹 보안 취약점입니다. 여기에는 애플리케이션 코드 및 데이터, 백엔드 시스템에 대한 자격 증명, 민감한 운영 체제 파일이 포함될 수 있습니다. 경우에 따라 공격자가 서버의 임의 파일에 쓸 수 있어 응용 프로그램 데이터나 동작을 수정하고 궁극적으로 서버를 완전히 제어할 수 있습니다. Direc..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A7 - Missing Functional Level Access Control (기능 수준의 접근 통제 누락) OWASP Top 10 에서는 Missing Functional Level Access Control 항목은 Broken Access Control 항목으로 통합되었습니다. 개요 2017년 5위에서 1위로 올라가면서 94 %의 응용 프로그램이 평균 발생률 3.81 %의 손상된 액세스 제어에 대해 테스트되었으며 318k 이상의 기여 데이터 세트에서 가장 많이 발생합니다. 주목할만한 공통 약점 열거 (CWE)..

Web Application 하이브리드 앱 (Hybrid APP) 앱의 기반이 되는 콘텐츠 영억은 HTML 기반의 웹 앱으로 제작, 최종 앱 배포에 필요한 패키징 처리만 아이폰, 안드로이드 플랫폼 안에서 처리한 애플리케이션 네이티브 앱 (Native APP) 모바일 기기에 최적화된 언어로 개발된 앱으로 안드로이드 SDK를 이용해 java 언어로 만드는 안드로이드 앱과 iOS SDK를 이용해 Objective-C언어로 개발된 아이폰 앱 등을 의미 모바일 웹 (Mobile Web) 데스크 탑 브라우저에서 실행되는 웹 애플리케이션을 모바일 스크린 크기로 줄여 놓은 것 웹 앱 (Web App) 모바일 웹과 네이티브 앱을 결합한 것으로 모바일 웹의 특징을 가지면서 네이티브 앱의 장점도 가짐 URL 주소 URL은 ..

입사지원서를 위장한 LockBit 랜섬웨어가 지속적으로 탐지되고 있습니다. 해당 악성메일은 zip 파일로 압축이 되어 있고 비밀번호가 설정되어 있어 보안장비를 우회할 수 있습니다. 발신자 : marylandleisy396@gmail.com (변경될수 있음) 제목 : 열정적이고 유능한 사람 (변경될수 있음) 첨부파일 : 비밀번호가 설정되어 있는 zip 압축 파일 발신자 주소 (변경될수 있음) tsukokunakino@gmail.com nankonshin@gmail.com campbellisnsf@gmail.com whitenzjqy@gmail.com td9202544@gmail.com hysjame97@gmail.com leettrxv@gmail.com marylandleisy396@gmail.com ha..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A6 - Text Files (Accounts) 개인 정보 및 서버의 중요 정보 데이터가 파일 및 다운로드가 가능하다면 주된 공격 대상이 됩니다. 난이도 하 insecure_crypt_storage_2.php 페이지를 살펴보면 로그인이 가능합니다. bee 계정으로 로그인 시 'The account was added!'라는 메시지와 함께 아라에 파일을 다운로드하거나 삭제할 수 있는 링크가 생성이 됩니다. Download 링크를 클릭하면 계정 정보가 있는 accounts.txt 파일로 이동하고 해당 파일을 확인해 보면 ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A6 - POODLE Vulnerability POODLE 공격(Padding Oracle on Downgraded Legacy Encryption)은 SSL 3.0 프로토콜(CVE-2014-3566)의 취약점을 악용합니다. 이 취약점으로 인해 공격자는 SSLv3을 사용하여 암호화된 통신을 도청할 수 있습니다. SSLv3 및 CBC 암호 모드 SSLv3는 데이터를 암호화/복호화하고 보호하는 프로토콜입니다. 우리의 경우 그는 CBC 암호 모드 체이닝 을 사용합니다. 평문은 암호화 알고리즘(AES, DES, 3DES)과..