Daily Report

※ 선행 학습 필요 개념 Blind SQL Injection Blind SQL injection은 데이터베이스에 참 또는 거짓 질문을하고 응용 프로그램 응답에 따라 답을 결정하는 SQL 주입 공격 유형입니다. 이 공격은 웹 응용 프로그램이 일반적인 오류 메시지를 표시하도록 구성되었지만 SQL 삽입에 취약한 코드를 완화하지 않은 경우에 종종 사용됩니다. 공격 유형 1) Boolean based Blind SQL Injection [ 외부 입력값 ] 제목검색: hello' AND 1=1-- (유효한 검색단어와 항상 참이되는 조건 부여) [결과] 게시판 검색됨 --> 참(true)이으로 간주 [ 외부 입력값 ] 제목검색: hello' AND 1=2-- (유효한 검색단어와 항상 거짓이 되는 조건 부여) [결과]..

환경 구축 과정 1. Apache + PHP + MariaDB 설치 - 라이브러리 설치 yum install -y libjpeg* libpng* freetype* gd-* gcc gcc-c++ gdbm-devel libtermcap-devel - Apache 웹서버 설치 yum install -y httpd* - PHP 설치 및 기타 라이브러리 설치 yum install -y php php-common php-opcache php-cli php-gd php-curl php-mysqlnd php-mysqli - MariaDB 설치 yum install -y mariadb* 2. 부팅 등록 chkconfig --level 3 httpd on chkconfig --level 3 mariadb on 3. Apa..

버그 바운티? 기업의 서비스나 제품 등을 해킹해 취약점을 발견한 화이트해커에게 포상금을 지급하는 제도로, 기업들은 버그바운티를 통해 빠르게 보안 패치를 적용할 수 있다. 구글, 애플, 페이스북, 마이크로소프트(MS) 등 글로벌 기업에서 보안성을 고도화하기 위해 활발하게 시행 중이다. 국내에서는 2012년 이 제도를 도입했지만 취약점을 밝히는 것을 꺼려하는 기업 문화와 보안 불감증 등의 이유로 포상금도 적고 신고 건수도 저조한 상태다. 국내에서 버그바운티를 실시하는 곳은 삼성, 네이버, 카카오, 네오위즈, 한글과 컴퓨터 등이다. [네이버 지식백과] 버그바운티 (시사상식사전, pmg 지식엔진연구소) 버그 바운티 참고 URL https://noirstar.tistory.com/category/Security/..

OWASP 란 무엇인가? OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트입니다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표했습니다. OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 2004년, 2007년, 2010년, 2013년, 2017년을 기준으로 발표되었고, 문서가 공개되었습니다. 아래 첨부파일은 2017년 기준 발표된 OWASP Top10 문서입니다. OWASP Top 10 List 다음 글에서는 각 리스트별 내용에 대해서 세부적..