태군 코드 : Security, travel & communication

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A9 - Buffer Overflow (Local) 버퍼 오버플로 오류는 의도적 또는 비의도적으로 수정되어서는 안 되는 프로세스의 메모리 조각을 덮어쓰는 것이 특징입니다. IP(Instruction Pointer), BP(Base Pointer) 및 기타 레지스터의 값을 덮어쓰면 예외, 분할 오류 및 기타 오류가 발생합니다. 일반적으로 이러한 오류는 예기치 않은 방식으로 응용 프로그램 실행을 종료합니다. 버퍼 오버플로 오류는 char 유형의 버퍼에서 작업할 때 발생합니다. 버퍼 오버플로는 스택 오버플로[스택 오버플로..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A9 - Using Known Vulnerable Components (알려진 취약점이 있는 구성 요소 사용) 웹 서비스를 운영하는데 각 영역별로 다양한 모듈과 라이브러리를 사용합니다. 예를 들어 아파치 톰캣, 워드프레스 등 오픈소스 프로젝트들이 많은 서비스에서 활용되고 있습니다. 이렇게 사용된 기능들이 보안상 안전하려면 정기적인 보안 패치 및 업데이트가 필요하지만, 수많은 기능을 완벽하게 대응하기는 어려운 게 현실입니다. OWASP TOP 10 에서는 A06:2021-취약점 및 오래된 구성 요소로 2017년도에는 ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A7 - Missing Functional Level Access Control (기능 수준의 접근 통제 누락) OWASP Top 10 에서는 Missing Functional Level Access Control 항목은 Broken Access Control 항목으로 통합되었습니다. 개요 2017년 5위에서 1위로 올라가면서 94 %의 응용 프로그램이 평균 발생률 3.81 %의 손상된 액세스 제어에 대해 테스트되었으며 318k 이상의 기여 데이터 세트에서 가장 많이 발생합니다. 주목할만한 공통 약점 열거 (CWE)..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A6 - Sensitive Data Exposure OWASP에서는 이전에 민감한 데이터 노출로 알려진 2번으로 한 위치를 옮기며 근본 원인보다는 광범위한 증상에 더 가깝습니다. 초점은 암호화와 관련된 실패(또는 그 부족)에 있습니다. 이는 종종 민감한 데이터의 노출로 이어집니다. 포함된 주목할만한 CWE(Common Weakness Enumerations)에는 CWE-259: 하드 코딩된 암호 사용 , CWE-327: 손상되거나 위험한 암호화 알고리즘 및 CWE-331 불충분한 엔트로피가 있습니다. 설명 첫 번째는..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Arbitrary File Access (Samba) 삼바(samba)는 Windows 운영체제를 사용하는 PC에서 Linux 또는 UNIX 서버에 접속하여 파일이나 프린터를 공유하여 사용할 수 있도록 해 주는 소프트웨어입니다. SMB(Server Message Block)는 도스나 윈도우에서 파일이나 디렉터리 및 주변 장치들을 공유하는 데 사용되는 메시지 형식입니다. NetBIOS는 SMB 형식에 기반을 두고 있으며, 많은 네트워크 제품들도 SMB를 사용합니다. 이러한 SMB 기반의 네트워크에는 랜 매니저..

OWASP TOP 10이란 Open Web Application Security Project에 따라 악용가능성, 탐지가능성 및 영향에 대해 빈도수가 높고 보안상 영향을 크게 줄 수 있는 10가지 웹 애플리케이션 보안 취약점 목록입니다. OWASP Top 10 목록은 3~4년에 한번씩 정기적으로 업데이트 됩니다. OWASP 2021 목록 A01 : Broken Access Control (접근 권한 취약점) 엑세스 제어는 사용자가 권한을 벗어나 행동할 수 없도록 정책을 시행합니다. 만약 엑세스 제어가 취약하면 사용자는 주어진 권한을 벗어나 모든 데이터를 무단으로 열람, 수정 혹은 삭제 등의 행위로 이어질 수 있습니다. A02 : Cryptographic Failures (암호화 오류) Sensitive ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A5 - Security Misconfiguration Security Misconfiguration (보안설정오류) 애플리케이션 스택의 적절한 보안 강화가 누락되었거나 클라우드 서비스에 대한 권한이 적절하지 않게 구성되었을 때, 불필요한 기능이 활성화되거나 설치되었을 때, 기본 계정 및 암호화가 변경되지 않았을 때, 지나치게 상세한 오류 메시지를 노출할 때, 최신 보안 기능이 비활성화되거나 안전하지 않게 구성되었을 때 발생합니다. 개요 Security Misconfiguration은 OWASP 2017 6위에서 O..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A4 - Insecure Direct Object References Insecure Direct Object References (IDOR) 안전하지 않은 직접 개체 참조(IDOR)는 응용 프로그램이 사용자 제공 입력을 기반으로 개체에 대한 직접 액세스를 제공할 때 발생합니다. 이 취약점으로 인해 공격자는 권한 부여를 우회하고 시스템의 리소스(예: 데이터베이스 레코드 또는 파일)에 직접 액세스 할 수 있습니다. 안전하지 않은 직접 개체 참조를 사용하면 공격자가 개체를 직접 가리키는 데 사용되는 매개 변수 값을 수정..

CVE (Common Vulnerabilities and Exposures) CVE는 공통 취약점 및 익스포저의 약자이며 정보 보안 취약점 표준 코드를 의미합니다. CVE는 다양한 취약점을 통일해 고유한 넘버링을 부여한 것입니다. CVE는 장치, 시스템, 프로그램 해킹에 악용될 수 있는 컴퓨터 보안 취약성 및 시스템 결함에 부여됩니다. CVE의 각 항목에는 고유 시리얼 ID 넘버, 설명 등의 세부 사항이 포함되어 있습니다. 이러한 세부 사항은 CVE 취약점 사이트에서 확인할 수 있습니다. CVE 형식 : CVE-[취약점이 발견된 연도]-[취약점 번호] 예) CVE-2022-34993 https://cve.mitre.org/ CVE - CVE The mission of the CVE® Program is ..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - Injection 인젝션은 공격자가 악의적으로 주입한 데이터를 웹 애플리케이션에서 데이터베이스의 정상적인 쿼리 일부로 인식하고 실행할 때에 발생하는 취약점으로, 데이터를 입력받거나 데이터베이스 정보를 요청하는 곳에는 인젝션 공격이 가능합니다. 공격 방법이나 사용 언어에 따라 인젝션의 종류가 달라지는데, 대표적인 유형으로 SQL 인젝션, HTML 인젝션, OS Command 인젝션, LDAP 인젝션 등이 있습니다. 인젝션 공격 중 SQL 인젝션은 데이터베이스 언어인 SQL문을 사용하기 때문에 데이터베이스 내의..