일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- 해킹
- 마이크로서비스 아키택트
- APM
- 스프링 특징
- 소켓
- 보안
- 세션
- 클라이언트
- XSS
- 웹 개발
- 스프링구조
- sql
- lord of sqlinjectin
- 웹
- 자바 Array list
- 자바 has-a
- Los
- sqlinjection
- 자바 is-a
- 세션쿠키
- injection
- 서버
- Lord of sqlinjection
- 쿠키
- lord of sqlinjection`
- 스프링 종류
- 자바 문법
- 스프링
- 자바
- php
- Today
- Total
목록보안 (13)
LJ
3번째 문제 GOBLIN 이다. 파라미터를 확인해 봤을 때 id는 고정이어서 no 파라미터를 활용해야 한다 if($result['id'] == 'admin') solve("goblin"); 를 봤을 때 id 값을 admin으로 만들어야 결과를 볼 수 있는 것을 볼 수 있다. admin으로 만들려면 no =1 or id='admin' 구문의 들어가야 하는데 싱글쿼터를 필터링 해 넣을 수 없다. 그러므로 admin 을 hex 값으로 변환 해 넣어준다.( DB에 따라 hex값이 입력되면 String값으로 인식이 되어 sql injection 공격이 가능하다.) 위의 사진처럼 hex 값으로 변환해 삽입했을 때 문제가 해결된다.
lord of sqlinjection 사이트에 접속했을 때 처음으로 접할 수 있는 문제이다. 1. gremlin 문제 코드를 보면 $query = "select id from prob_gremlin where id='{$_GET[id]}' and pw='{$_GET[pw]}'"; 이 부분을 보면 id 와 pw 둘 다 참이어야 된다고 하지만 if($result['id']) solve("gremlin"); 이 부분을 통해 아이디만 찾으면 gremlin이 해결될 수 있다는 것을 볼 수 있다. 1. id 와 pw 둘다 참 id 파라미터 와 pw 파라미터 두 값에 ' OR '1=1 구문을 추가시켜 항상 참으로 받아들이게 구문을 만들면 문제가 해결된다. ( false AND false OR tru..
오픈소스 암호화 통신 기술 '오픈SSL(OpenSSL)'에서 치명적인 취약점이 발견됐다. 주요 사이버보안기업들은 전 세계적인 보안위기가 발생할 수 있다고 경고하고 있다. 최근 미국 지디넷에 따르면 오픈SSL 프로젝트팀은 가장 심각도가 높은 보안문제를 발견했다며 보안 수정버전 ‘오픈SSL 3.0.7’을 릴리즈할 예정이라고 성명서를 공식홈페이지를 통해 발표했다. 오픈SSL 3.0.7은 11월 1일(현지시간) 공개될 예정이다. 이번 보안 취약점이 치명적인 만큼 오픈SSL 프로젝트팀과 보안기업들은 공개와 함께 관련 기업들은 해당 버전을 업데이트 할 것을 권장하고 있다. 완벽한 보안은 없다고 하는데 정말 맞는거 같다... 믿고있던 openssl이,,, https://n.news.naver.com/article/0..
러시아 Yandex 택시앱 해킹 지난 9월 1일, 러시아 모스크바시에서 택시 가짜예약으로 인한 대규모 교통체증이 발생했다. 알 수 없는 사이버 공격자가 Yandex 택시앱을 해킹해 택시기사들이 가짜 예약을 받게 되어 대규모 교통체증이 발생된 것으로 확인되었다. Yandex 택시 관리자들은 해당 사건의 원인이 사이버 공격이라고 주장했다. 또한, Yandex 택시 보안담당자들은 해당 사이버 공격에 즉시 대응해 문제를 해결했으나, 택시기사들은 가짜 예약으로 인해 40분 동안 교통체증으로 시간을 보내야 했다고 전했다. Yandex 택시는 해당 문제를 해결하고 정상운영에 들어갔다고 공지했다. 링크글