지식 채우는 블로그

디렉터리 인덱싱 (diretory indexing) 개념 특정 디렉터리 초기 페이지의 파일이 존재하지 않을 때 자동으로 디렉터리 리스트를 출력하는 취약점입니다. 발생 원인 특정 디렉터리 초기 페이지의 파일이 존재하지 않을 때 자동으로 디렉터리 리스트를 출력하는 기능을 끄지않아 발생합니다. 위험한 이유 디렉터리 리스트가 출력될 경우 파일리스트가 노출되어 시스템의 구조가 외부에 노출되고 민감한 정보가 포함되어 있는 설정파일까지 노출 시 보안상 심각한 위험을 초래할 수 있습니다. 조치 방법 - 웹 서버 환경설정에서 디렉터리 인덱싱 기능 제거 추가 정보 디렉터리 인덱싱이 성공한다면 디렉터리 리스팅이라는 취약점도 가능할 가능성이 높습니다.

XPath 인젝션 (XPath Injection) 개념 비정상적인 XPath 쿼리를 조합하거나 실행하는 취약점입니다. XPath : XML Path Language의 약자로, XML 문서에서 특정 요소나 속성을 선택하는 데 사용하는 표준 표현식 언어입니다. 발생 원인 사용자의 입력값을 제대로 검증하지않아 발생하는 취약점입니다. 위험한 이유 공격자가 비정상적인 XPath 쿼리문을 삽입할 경우 데이터가 유출될 뿐만 아니라 데이터 수정이나 삭제를 하여 웹 사이트를 손상시킬 수 있습니다. 조치 방법 - XPath 쿼리에 사용자가 값을 입력할 수 있는 경우, 엄격한 입력 값 검증을 통해 필요문자만을 받아들이게 합니다. - (), =, ', [], :, *, / 등 XPath 쿼리를 파괴하는 특수문자는 입력하지 못..

SSI 인젝션 (SSI Injection) 개념 HTML 문서 내 입력받은 변수 값을 서버 측에서 처리할 때 부적절한 명령문이 포함 및 실행되어 서버의 데이터가 유출되는 취약점입니다. SSI : Server-Side Includes로 CGI 프로그램을 작성하거나 혹은 서버사이드 스크립트(PHP, ASP등)를 사용하는 언어로, 웹 서버가 사용자에게 페이지를 제공하기 전에 구문을 해석하도록 지시하는 역할을 합니다. 발생 원인 사용자 입력 값에 적절한 검증절차를 거치지 않아 발생하는 취약점입니다. 위험한 이유 웹 서버 상에 있는 파일을 include 시켜 명령문이 실행되게 함으로 불법적으로 데이터에 접근할 수 있게 합니다. 조치 방법 - 사용자가 입력 가능한 문자들을 화이트 리스트로 정해 놓습니다. - 정해진..

SQL 인젝션 (SQL Injection) 개념 비정상적인 SQL 쿼리를 조합하여 실행하는 취약점입니다. 발생 원인 사용자 입력 값에 적절한 검증절차를 거치지 않아 발생하는 취약점입니다 위험한 이유 공격자가 비정상적인 SQL 쿼리문을 삽입할 경우 데이터가 유출될 뿐만 아니라 데이터 수정이나 삭제를 하여 웹 사이트를 손상시킬 수 있습니다. 조치 방법 - SQL 쿼리에 사용되는 문자열의 유효성을 검증하는 로직을 구현합니다. - 아래 사진과 같은 특수문자를 사용자 입력 값으로 지정 금지합니다. (아래 문자들은 해당 DB에 따라 달라질 수 있습니다.) - Dynamic SQL 구문 사용을 지양하며 파라미터에 문자열 검사를 필수로 적용합니다. - 시스템에서 제공하는 에러 메시지 및 DBMS에서 제공하는 에러 코드..

운영체제 명령 실행 공격 (OS Command Injection, Command Injection Attack) 개념 웹에서 서버에 명령어를 전송하여 서버의 정보를 얻을 수 있는 취약점입니다. 발생 원인 사용자 입력 값에 적절한 검증절차(길이와 형식을 함께 검사)를 거치지 않아 발생하는 취약점입니다. 위험한 이유 공격자가 사용자 입력 값에 시스템 명령어를 입력하면 시스템 명령어를 실행돼 시스템내 데이터를 변조, 유출하거나 삭제해 시스템에 손상을 입힐 수 있습니다. 조치 방법 - 웹 방화벽에 모든 사용자 입력 값을 대상으로 악용될 수 있는 특수문자, 특수 구문 등을 필터링 할 수 있도록 규칙을 적용합니다. - APP은 OS로부터 명령어를 직접적으로 호출하지 않도록 구현합니다. - 명령어를 직접 호출하는 것..

LDAP 인젝션 (LDAP Injection) 개념 사용자 입력 값에 LDAP 구문을 입력하였을 떄 웹 기반 응용 프로그램을 악용하는데 사용되는 공격입니다. LDAP : Lightweight Directory Access Protocol의 약자로, 디렉토리 서비스를 제공하기 위한 프로토콜입니다. 이전 디렉토리 서비스 표준인 X.500의 DAP과 다르게 OSI 계층 전체가 아닌 TCP/IP위에서 운용됩니다. 발생 원인 사용자 입력 값에 대한 적절한 필터링 및 유효성 검증을 하지 않아 발생하는 취약점입니다. 공격 성공 시 승인되지 않은 쿼리에 권한을 부여하고, LDAP 트리 내의 내용 수정이나 임의의 명령 실행이 가능해집니다. 위험한 이유 공격자가 LDAP 인젝션 공격에 성공하게 된다면 LDAP 서버내의 있..

포맷 스트링 (Format string) 개념 C언어로 만든 프로그램 중 입력 값을 조작하여 프로그램의 메모리 위치를 반환 받아 메모리 주소를 변조하는 취약점입니다. 발생 원인 이 취약점은 프로그램에 입력된 문자열 데이터가 명령으로 해석될 떄 발생합니다. printf등의 함수에서 발생되는 취약점으로 공격자는 코드를 실행하거나 메모리 일부를 읽을 수 있습니다. 프로그래머가 아래와 같이 작성하였으면 안전한 코드입니다. printf('%s',argv[1]); 그러나 아래와 같이 작성하였으면 포맷 스트링에 취약한 코드입니다. printf(argv[1]); 위험한 이유 위와 같은 코드가 위험한 이유는 만약 사용자가 %s%s%s%s%s%s라는 값을 입력하면 모든 %s를 문자열에 대한 포인터로 해석해 잘못된 주소로 ..

버퍼 오버플로우 공격 (Buffer overflow) 개념 버퍼의 용량을 초과하여 인접한 메모리 위치를 덮어쓸 때 발생하는 취약점입니다. (버퍼 : 데이터를 한 장소에서 다른 장소로 이동하는 동안 임시로 저장하는 데 사용되는 물리적 메모리 저장영역) 발생 원인 사용자가 입력 가능한 값은 ABCD뿐인데 문자열 길이를 제한하지 않아 ABCDE를 입력되었을 경우 발생하는 취약점으로 기존의 데이터를 덮어쓰는 바람에 오류를 일으켜 실행 프로그램이 비정상적으로 종료되거나 비인가 접근이 발생할 수 있는 취약점입니다. 위험한 이유 공격자는 이 취약점을 이용해 프로그램의 실행 흐름을 조작하여 임의 코드를 실행하거나 중요한 데이터를 손상시킬 수 있습니다. 이 취약점은 널리 알려진 취약점인 만큼 버퍼 오버플로우 관련 코드는..

안녕하세요~ 이번에 ICT 인턴십 참여학생 모집이 새로 시작된 김에 후기를 작성해볼려고 합니다. 저는 2023년 하반기 인턴십을 진행했으며 현재 2월 졸업을 앞두고 있습니다. 내용은 - 인턴이전 저의 소개 - 인턴십 면접 (코딩테스트 X) - 인턴십 진행 - 인턴십 후기 이렇게 진행합니다. 인턴십 이전 2023년에 4학년이 된 저는 외부 활동을 해보고 싶었습니다. 코로나 학번이라 외부와 단절된 것도 있었고... 여러가지를 체험해보는게 너무 즐겁거든요! 그래서 원래는 상반기에도 지원을 했었으나 최종합격은 하지 못했었습니다... 아쉬운 마음을 뒤로하고 졸업작품에 열심히 매진했습니다. 그러면서 Python에 익숙해졌죠 그렇지만 이대로 졸업을 하기 싫었던 저는 하반기에 다시 재지원을 했습니다. 상반기에는 한곳만..

자기소개 나이 : 23살 MBTI : INTP (I, T 90%이상!!) 학력 : 4년제 대학교 정보보호학과 졸업 관심분야 : 정보보안/웹 취약점분석&진단, 웹 모의해킹, 개발(Python) 잠만보인 이유 포켓몬을 좋아하는데 그중 잠만보를 닮았다는 말을 들어서입니다. (좋아하는 포켓몬 : 리오르계열) 수상경력 2022 조선 해운 빅데이터 활용 아이디어 공모전 최우수상 수상 자격증 네트워크 관리사 2급 취득 정보처리기사 필기 합격 개인활동 H사 재직중 (2024.03~ ) L사 인턴 (2023.09 ~ 2023.12) 졸업작품 (2023.03~ 2023.11) 방학중 대학교내 동아리활동 (2022 겨울학기) 방학중 대학교내 동아리활동 (2022 여름학기) 대학교내 근로장학생 (2021.03~2021.12)..