삽질블로그

보호되어 있는 글입니다.

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 1. Missing Functional Level Access Control - OWASP Top 10 A7 - 기능 수준의 접근 통제 누락 - 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다. - Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드 2. XML External Entity Attacks ( XXE ) - XML 인젝션을 실시하여 XML Parser(마크업 분석/구조화된 정보를 어플리케이션에게 전달하는 프로세서) 를 통해 페이지의 내용을 대체하는 권한..

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 1. Missing Functional Level Access Control - OWASP Top 10 A7 - 기능 수준의 접근 통제 누락 - 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다. - Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드 2. Server Side Request Forgery ( SSRF ) - 공격자가 변조된 요청을 서버에게 전송하여 서버가 내부망에 악의적인 요청을 보내는 취약점이다. - 이를 통해서 내부망 접근, 스캔, 보안 장비 우회..

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 1. Missing Functional Level Access Control - OWASP Top 10 A7 - 기능 수준의 접근 통제 누락 - 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다. - Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드 2. Restrict Folder Access - 디렉토리 브라우징 또는 디렉토리 리스팅이라고 하며, 웹 서버의 디렉토리 목록이 노출되어 접근이 가능한 취약점이다. - Linuux Apache와 Windows IIS에서 ..

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 1. Missing Functional Level Access Control - OWASP Top 10 A7 - 기능 수준의 접근 통제 누락 - 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다. - Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드 2. Restrict Device Access - PC와 모바일 웹 서비스를 동일한 환경에서 관리될 경우, 두개 중에 하나라도 취약점이 있다면 문제가 발생한다. - 그렇기 때문에 PC와 모바일 웹 서비스 환경을 분리하여 ..

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 1. Missing Functional Level Access Control - OWASP Top 10 A7 - 기능 수준의 접근 통제 누락 - 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다. - Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드 2. Remote & Local File Inclusion ( RFI / LFI ) - RFI : 외부 서버에 있는 악의적인 파일을 이용하여 내부 서버에 있는 정보를 획득하는 방식 - LFI : 내부 서버 자체적인 취약점..

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 1. Missing Functional Level Access Control - OWASP Top 10 A7 - 기능 수준의 접근 통제 누락 - 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다. - Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드 2. Local File Inclusion ( SQLiteManager ) - SQLiteManager에 파일 업로드 또는 스크립트를 인젝션하여 악의적인 프로그램 실행 및 정보를 획득하는 취약점이다. 3. Missing ..

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 1. Missing Functional Level Access Control - OWASP Top 10 A7 - 기능 수준의 접근 통제 누락 - 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다. - Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드 2. Directory Traversal - Host Header Attack ( Reset Poisoning ) - Host Header를 변조하면 이메일을 이용한 패스워드 재설정에 취약점이 발생한다. 3. Missin..

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 1. Missing Functional Level Access Control - OWASP Top 10 A7 - 기능 수준의 접근 통제 누락 - 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다. - Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드 2. Host Header Attack ( Cache Poisoning ) - 하나의 IP 주소를 사용하는 웹-서버에 두개 이상의 웹 서비스 (www.abc.com, www.xyz.com)를 구현할 경우, 가상 호스팅 기..

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 1. Missing Functional Level Access Control - OWASP Top 10 A7 - 기능 수준의 접근 통제 누락 - 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다. - Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드 2. Directory Traversal - Files - 웹 브라우저를 통해서 확인 가능한 상위 디렉토리를 검색하여 시스템 파일을 검색 / 접근하거나 다운로드하는 취약점이다. - 해결하는 방법으로는 변수를 이용하여 기본..