태군 코드 : Security, travel & communication

Firefox 원격코드 실행 취약점 보안 업데이트 권고 □ 개요 o 모질라 재단은 Firefox의 취약점을 해결한 보안 업데이트 발표[1] o 공격자는 해당 취약점을 악용하여 악성코드를 실행시킬 수 있으므로, 최신 버전으로 업데이트 권고 □ 설명 o Firefox에서 메모리 버그로 인해 원격사용자가 임의코드를 실행할 수 있는 취약점(CVE-2018-12376) □ 영향을 받는 제품 및 버전 제품명영향 받는 버전해결 버전Firefox61 버전62Firefox ESR(Extended Support Release)60.160.2 □ 해결 방안 o 최신 버전으로 업데이트 적용 - Firefox 62 - Firefox ESR 60.2 o Firefox를 실행하여 메뉴버튼 클릭->도움말 클릭 -> “Firefox ..

ipTIME NAS 제품 취약점 보안 업데이트 권고 □ 개요 o EFM-Networks社는 ipTIME NAS 제품의 취약점을 해결한 보안 업데이트 발표 [1] o 낮은 버전을 사용 중인 시스템은 악성코드 감염에 취약할 수 있으므로, 최신 버전 으로 업데이트 권고 □ 설명 o 관리자 페이지에서 특정 파라미터에 대한 검증이 미흡하여 발생하는 버퍼오버플로우, 스크립트 삽입 및 명령어 삽입이 가능한 취약점 □ 영향을 받는 제품 제품명펌웨어 버전NAS1, NAS1 dual1.3.20을 포함한 이전 버전NAS2, NAS2e, NAS2 dualNAS3NAS4, NAS4 dual □ 해결 방안 [1] o 최신버전(1.3.28v)으로 업데이트 적용 ※ 취약점을 해결한 패치파일이 지속적으로 업데이트 되고 있으므로, NA..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. Blind SQL Injection은 SQL Injection 과 같이 원하는 데이터를 가져올 쿼리를 삽입하는 공격 방법 입니다. 여기서 SQL Injection 과 다른점은 SQL Injection은 쿼리를 삽입하여 원하는 데이터를 한번에 얻어낼 수 있는 반면에 Blind SQL Injection은 참과 거짓, 쿼리가 참일때와 거짓일 때의 서버의 반응 만으로 데이터를 얻어내는 방식 입니다. XVWA 취약점 진단 페이지의 Blind SQL Injection 화면 입니다. 여기서는 버프스위트와, SQLMAP을 사용하..

Windows 원격코드 실행 취약점 보안 업데이트 권고 □ 개요 o MS의 Windows에서 원격코드 실행 취약점을 해결한 보안 업데이트 발표 [1] o 8월 MS 정기 보안업데이트에 포함되었으나, 최근 해당 취약점을 악용하는 악성파일(doc, pdf)이 이메일 및 웹을 통해 확산되고 있으므로 이용자들의 각별한 주의와 적극적인 업데이트 필요 □ 설명 o Settingcontent-MS(윈도우 설정 바로가기 파일)에서 경로값 검증이 미흡하여 발생하는 원격코드 실행 취약점(CVE-2018-8414) [1] □ 영향을 받는 제품 o Windows 10 - 1803(32비트 및 64비트) 버전 - 1709(32비트 및 64비트) 버전 - 1703(32비트 및 64비트) 버전 o Windows Server - 1..

취약한 웹 애플리케이션의 하나인 XVWA(Xtreme Vulnerable Web Application) 테스트 환경을 구축해보도록 하겠습니다. ■ XVWA 소스코드 다운 해당 사이트를 접속하신후 ZIP 파일을 내려 받아 줍니다. ■ 오토셋 설정 - 오토셋 설정방법은 앞전에 설명드린 내용을 참고 바랍니다. 다운 받은 파일은 xvwa로 이름을 변경한 후 다음과 같이 경로 설정을 해줍니다. AutoSet9 - xvwa - xvwa 다음과 같은 경로에 파일을 넣어 주신후에 xvwa 폴더를 하나 더 만드신후 config.php 파일을 넣어 줍니다. config.php 파일을 다음과 같이 수정을 하여 줍니다. login.php 파일에서 include_once 부분을 수정하여 줍니다. 다 수정이 되었다면 오토셋 프로..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. XSS(Cross-site Scripting)는 웹 상에서 가장 기초적인 취약점 공격 방법 입니다. 크로스 사이트 스크립팅(XSS)은 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 검증하기 않거나, 출력 시 위험 데이터를 무효화 시키지 않을 때 발생하게 됩니다. 공격자는 의도적으로 브라우저에서 실행될 수 있는 악성 스크립트를 웹 서버에 입력 또는 출력 될수 있게 공격을 할수 있습니다. XSS 취약점을 이용한 공격 방법은 크게 3가지로 분류됩니다. 1. XSS(Stored) - 저장 XSS..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. XSS(Cross-site Scripting)는 웹 상에서 가장 기초적인 취약점 공격 방법 입니다. 크로스 사이트 스크립팅(XSS)은 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 검증하기 않거나, 출력 시 위험 데이터를 무효화 시키지 않을 때 발생하게 됩니다. 공격자는 의도적으로 브라우저에서 실행될 수 있는 악성 스크립트를 웹 서버에 입력 또는 출력 될수 있게 공격을 할수 있습니다. XSS 취약점을 이용한 공격 방법은 크게 3가지로 분류됩니다. 1. XSS(Stored) - 저장 XSS..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. XSS(Cross-site Scripting)는 웹 상에서 가장 기초적인 취약점 공격 방법 입니다. 크로스 사이트 스크립팅(XSS)은 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 검증하기 않거나, 출력 시 위험 데이터를 무효화 시키지 않을 때 발생하게 됩니다. 공격자는 의도적으로 브라우저에서 실행될 수 있는 악성 스크립트를 웹 서버에 입력 또는 출력 될수 있게 공격을 할수 있습니다. XSS 취약점을 이용한 공격 방법은 크게 3가지로 분류됩니다. 1. XSS(Stored) - 저장 XSS..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. SQL Injection 취약점은 웹 애플리케이션의 메시지를 이용하여 데이터베이스 내부의 정보를 유출하는 취약점입니다. 공격자는 데이터베이스 쿼리에 임의의 SQL 쿼리를 삽입함으로써 공격이 이루어 집니다. SQL Injection 취약점 진단의 화면 입니다. 아래 링크에서 SQL Injection 설명을 보시면 도움이 되실겁니다. SQL Injection에 웹 소스코디 입니다. GET 메소드로 입력한 id 값을 저장하는 것을 확인할 수 있습니다. Low레벨의 소스코드를 보시면 쿼리문에서 ID를 입력했을때 users..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. Insecure CAPTCHA 캡차는 컴퓨터가 알 수 없는 흘려 쓴 글씨나, 그림등의 클릭 키를 입력받아서 사람인지 확인하는 것입니다. 쉽게 말해 사이트에서 사람이 접근하려고 하는 것인지 봇이 접근하는 것인지 판단하기 위하여 많이 사용되고 있습니다. Insecure CAPTCHA 문제의 화면입니다. 해당 취약점 진단을 하기위해서는 캡차 설정을 해야 합니다. 먼저 메모장으로 config.inc.php 파일을 열어주신후 밑에 보이시는 링크를 눌러 해상 사이트에 접속을 해줍니다. 사이트를 접속하시면 다음과 같은 화면이 ..