728x90 ๋ฐ์ํ Security Study83 SQL injections vulnerabilities in Stack Overflow PHP questions SQL injections vulnerabilities in Stack Overflow PHP questions lastest SQL Injection vulnerabilities in PHP questions sql injection ์ทจ์ฝ์ ์ ์ทจ์ฝํ php๋ฌธ์ ๋ณผ์ ์๊ณ ๋ณด๊ธฐ ์ฌ์ด ์ธํฐํ์ด์ค๋ก ๋์ด์์ด์ :) https://laurent22.github.io/so-injections/ Security Study/Web 2016. 12. 14. string filter(php) php://filter/string.rot13/resource=example.com http://php.net/manual/en/filters.string.php Security Study/Web 2016. 10. 5. apmsetup์์ forbidden๋ฌธ์ ํด๊ฒฐ apmํด๋๋ฅผ ๋ค์ด๊ฐ์ (ex)C:\APM_Setup\Server\Apache\conf) < -์ด๋ ๊ฒ ๋ค์ด๊ฐ์ httpd.confํ์ผ์ ๋ฉ๋ชจ์ฅ์ผ๋ก ์ด์ด ์๋์๊ฐ์ด ์์ ํด์ค๋ค. # # Possible values for the Options directive are "None", "All", # or any combination of: # Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews # # Note that "MultiViews" must be named *explicitly* --- "Options All" # doesn't give it to you. # # The Options directive is both compl.. Security Study/Server(Linux) 2016. 3. 2. Networkkkkk... ๋คํธ์ํฌ ?๋คํธ์ํฌ ๊ธฐ์ด ์ด๋ก ๋ฉ์์ง - ๋คํธ์ํฌ๋ก ์ ์กํ ์์ ๋จ์์ ๋ฐ์ดํฐ๋ฅผ ํจํท์ด๋ผ๊ณ ์ฌ์ฉํ์ง๋ง ์ด๊ฒ์ ํํํ๋ ์ข ๋ ๋ฒ์ฉ์ ์ธ ๋จ์ด๋ ๋ฉ์์ง- ํจํท์ ๋ค์ํ ์ํฉ์์ ํ ์ฅ๋น๊ฐ ๋ค๋ฅธ ์ฅ๋น๋ก ๋ณด๋ด๋ ๋ฉ์์ง๋ฅผ ์ธ๊ธํ๋ ๋ฐ ์ฐ์ด๋ ์ฌ๋ฌ ์ฉ์ด์ค ํ๋- ๊ฐ ์ฉ์ด OSI ์ฐธ์กฐ ๋ชจ๋ธ์ ํน์ ๊ณ์ธต์์ ๋์ํ๋ ํ๋กํ ์ฝ์ด๋ ๊ธฐ์ ๊ณผ ์ฐ๊ด๋์ด ์์ผ๋ฉฐ ๋ฉ์์ง๋ฅผ ์ง์นญํ ๋ ๊ฐ์ฅ ๋ง์ด ์ฐ์ด๋ ๋จ์ด๋ ๋ค์๊ณผ ๊ฐ๋ค.1) ํจํท – OSI ์ฐธ์กฐ ๋ชจ๋ธ์ ๋ฝ,์ํฌ ๊ณ์ธต์์ ๋์ํ๋ ํ๋กํ ์ฝ์ด ๋ณด๋ด๋ ๋ฉ์์ง๋ฅผ ์๋ฏธ2) ๋ฐ์ดํฐ ๊ทธ๋จ – ๊ธฐ๋ณธ์ ์ผ๋ก ํจํท๊ณผ ๋์์ด ๋คํธ์ํฌ ๊ณ์ธต ๋ฉ์์ง๋ฅผ ์๋ฏธ3) ํ๋ ์ -4) ์ 5) PDU ๋ฉ์์ง ํฌ๋งคํ (ํค๋, ํ์ด๋กฃ, ํธํฐ)- ๋ฉ์์ง๋ ๋คํธ์ํฌ๋ฅผ ํตํด ์ ๋ณด๋ฅผ ์ ์กํ๋ ๋ฐ ์ฐ์ด๋ ๊ตฌ์กฐ- ๋ฉ์์ง๋ ํ๋กํ ์ฝ์ด๋.. Security Study/Network 2016. 2. 10. hosting ์ํ๊ธฐ์ํ ๊ธฐ๋ณธ? ์น์ฌ์ดํธ๋ฅผ ๋ง๋ค๋ฉด ํธ์คํ ์ด๋ ๊ฒ์ ์ด์ฉํ์ฌ ์๋ก ์ฐ๊ฒฐ ์ํจ๋ค. ๊ฑฐ๊ธฐ์ ๋ณด๋ฉด DNS nameserver ๋ฑ ์ด๋ฌํ ๋ง์ด ๋์ค๋๋ฐ ๊ณผ์ฐ ๋ฌด์์ผ๊น? ์ฝ๊ฒ๋ณด์!! DNS๋ ?Domain Name Server IP์ฃผ์๋ฅผ ์ธ๊ฐ์ด ๊ธฐ์ตํ๊ธฐ ํธํ ์ธ์ด์ฒด๊ณ๋ก ๋ณํํ๋ ํด์ฃผ๋๋ฐ ์ฌ์ฉ๋๋ค. Nameserver๋? ์๋ฌธ ๋๋ฉ์ธ์ ๋ค ์๋ฆฌ์ IP์ฃผ์๋ก ๋งคํ ์์ผ์ฃผ๋ ์๋ฒ๋ฅผ ๋งํ๋ค. Security Study/Web 2015. 12. 13. mac ํฐ๋ฏธ๋ vim ๊พธ๋ฏธ๊ธฐ vi ~/.vimrc 2 || has("gui_running") syntax on set hlsearchendif " Only do this part when compiled with support for autocommands.if has("autocmd") " Enable file type detection. " Use the default filetype settings, so that mail gets 'tw' set to 72, " 'cindent' is on in C files, etc. " Also load indent files, to automatically do language-dependent indenting. filetype plugin indent on " Put these in.. Security Study/Source 2015. 12. 10. ubuntu ๋๋ ํ ๋ฆฌ ๋ฆฌ์คํ ๋ง๊ธฐ ์๋ฒ๋ฅผ ์ด์ํ๋ค๋ณด๋ฉด ๋๋ ํ ๋ฆฌ๋ฆฌ์คํ ๋๋ฌธ์ ๊ฑฑ์ ํ์๋ ์ฌ๋์ด ๋ง์ ๊ป๋๋ค. ์ฐ๋ถํฌ๋ฅผ ์ฌ์ฉํ์๋ ๋ถ๋ค์ ์ฃผ๋ชฉ!!! vi /etc/apache2/apache2.conf Security Study/Server(Linux) 2015. 12. 10. Cyber Law ์ ๋ณดํต์ ์ ๋ฐ์ => ์ธ์๊ณผ ์ ๋์ ๋ณํ๋ฅผ ํ์๋ก ํ๋ค. ๋ํ ์ ๋ณดํต์ ๋ถ์ผ์ ๋ณํ์ ๋ฐ์ ์ผ๋ก ๋ฒ์ด ๋ฐ๋ ์ ๋ฐ์ ์์.์ด๋ฌํจ์ ๋ฐ๋ผ ๊ฐ๋ฅ์ฑ๊ณผ ์ํ์ฑ์ ๊ฐ์ง๊ณ ์๋๋ฐ๊ฐ๋ฅ์ฑ : ์ฌํ๋ ์ํ์ ๋ ธ์ถ๋๋ ๊ฒฝ์ฐ๊ฐ ์๊ธฐ๊ฒ ๋๋ค.์ํ์ฑ : ์ฌํ ๋ฐ์ ์ ๊ฐ๋ฅ์ฑ์ ์ฐจ๋จํ๊ฑฐ๋ ์ ํดํ๋ ๊ฒฐ๊ณผ๋ฅผ ๊ฐ์ง๊ฒ ๋๋ค. ์ฌ์ด๋ฒ ๊ณต๊ฐ์ ์ ๋ณดํ์ ์๊ธฐ๋ฅ์ผ๋ก ์ธ๋ฅ์๊ฒ ์๊ธฐ๋ฅ์ ๋ฐํํ๊ณ ์์ง๋ง, ๋ฐ๋๋ก ์ ๊ธฐ๋ฅ์ด๋ผ๊ณ ํ ์ ์์ ๋งํผ์ ๋ง์ ๋ฒ์ฃ์ ๊ฐ์ข ๋น์ค๋ฆฌ์ ์ด๊ณ ๋ฐ์ฌํ์ ์ธ ํ์๊ฐ ์ผ์ด๋๊ธฐ๋ ํ๋ค. ์ธํฐ๋ท์ ํน์ง - ์ต๋ช ์ฑ : ์ธํฐ๋ท์์๋ ์ค๋ช ๊ณผ ์ ๋ถ์ ๋ฐํ์ง ์์ ์ ์๋ค. - ๋ถํน์ ๋ค์์ฑ - ์๊ฐ์ , ๊ณต๊ฐ์ ๋ฌดํ์ฑ - ๋ฌดํ์ ์ฑ ์ ๋ณดํต์ ์ ๋ฐ์ ์ ๋ฐ๋ฅธ ๋ฒ์ ๋ฌธ์ - ์ฌ์ด๋ฒ ๊ณต๊ฐ์ ๋ํ ๋ฒ์ ๊ท์จํ๋ - ์๋ก์ด ์ ํ์ ๋ฒ์ฃ -> ๊ธฐ์กด ๋ฒ์ .. Security Study/System Security 2015. 12. 9. XSS ๊ณต๊ฒฉ๊ธฐ๋ฒ XSS (Cross Site Scripting) ํฌ๋ก์ค ์ฌ์ดํธ ์คํฌ๋ฆฝํธ์ ์๋ฒ์ ์๋น์ค๋ฅผ ๊ณต๊ฒฉํ๋ ์ผ๋ฐ์ ์ธ ํดํน๋ฐฉ๋ฒ์ด ์๋๋ผ ํด๋น ์๋ฒ๋ฅผ ์ฌ์ฉํ๋ ์ฌ์ฉ์๋ฅผ ๊ณต๊ฒฉํ๋ ๊ธฐ๋ฒ์ด๋ค. 1. XSS ์ผ๋ฐ์ ์ธ ๊ณต๊ฒฉ ๊ธฐ๋ฒ์ ์ด๋ฌํ ๊ตฌ๋ฌธ์ ๋ฃ์์ผ๋ก ์ทจ์ฝ์ ์ด ์๋์ง ์์๋ณธ๋ค. ex) ํด๋ฆญ์ ํ์ฌ์ดํธ๋ก ์ด๋Click 2. iframe ํ๊ทธ ํ์ฌ์ดํธ๋ก ์ฐ๊ฒฐ ๊ฐ๋ฅํ๊ฒ ํจ ex) ์จ๊ฒจ์ง iframe๋ฅผ ์ด์ฉํด ํ์ฌ์ดํธ๋ก ์ด๋ 3. object ํ๊ทธ ex) ์ง์ ํ ํ์ผ์ด ์กด์ฌํ์ง ์์ ๋ค์ฌ์ดํธ๋ก ์ด๋ํ๋๋ก ํจ. 4. div ๊ธฐ๋ฒ ex) div ํ๊ทธ๋ฅผ ์ฌ์ฉํ์ฌ ์ด๋ฏธ์ง ๋ฑ์ ์ฝ์ ์ํจ๋ค. 5. ์ธ์ฝ๋ฉ ๊ธฐ๋ฒ ex) ๊ณต๊ฒฉํ๋ ค๋ ๋ฌธ์์ด์ ๋ค๋ฅธ ํํ์ผ๋ก ์ธ์ฝ๋ฉํ์ฌ ๋์ ๋ ์ง ์๊ฑฐ๋, IPS, ์น๋ฐฉํ๋ฒฝ ๋์ ๊ฐ์งํจํด์ ์ฐํํ๊ธฐ ์ํ์ฌ ์ธ์ฝ๋ฉํ๋ค... Security Study/Web 2015. 12. 1. ์ํธํ ๊ณ ๋ ์ํธ - ์ํธ๋ฌธ์์ ์๋ฌธ์ ์ ์ถํ ์ ์๋ค.ํ๋ ์ํธ - ๊ณ ๋์ํธ์ ๋ฐ๋๋ก ์ํธ๋ฌธ์์ ์๋ฌธ์ ์ ์ถํ ์๊ฐ ์๋ค.์ด์ ๋ ์์ฆ์ ํ๋์ํธ๋ ์ํ์ ์๋ฆฌ๋ก ํ๊ธฐ ๋๋ฌธ์ด๋ค. ํ๋ ์ํธ์๋ฐฉํฅ ์ํธํ - ์ํธ๋ฌธ์ ๋ค์ ํ๋ฌธ์ผ๋ก ๋ณต์์ ํ ์์๋ค. - ๊ฐ์ญ์ - Encrytion๋์นญํน ์ํธ vs ๊ณต๊ฐํค ์ํธ(= ๋น๋์นญํค ์ํธ)1) ๋์นญํค ์ํธ - ์ํธํค์ ๋ณตํธํ ํค๊ฐ ๊ฐ๋ค. - ๋น๊ต์ ์ฐ์ฐ์ ์์ด ์ ์ด ๊ณ์ฐ์ด ๋น ๋ฅด๋ค. - ์คํธ๋ฆผ ์ํธ์ ๋ธ๋ก ์ํธ ์ฆ, 2์ข ๋ฅ๋ก ๋๋๋ค.1) ์คํธ๋ฆผ ์ํธ - ํ ๋ฒ์ ํ ๋นํธ๋ ํ ๋ฐ์ดํธ ๋จ์๋ก ์ํธํ ๋๋ค. - ๋ธ๋ก ์ํธ๋ณด๋ค ๋น ๋ฅด๋ ๋ฎ์ ๋ณด์์ฑ์ ๊ฐ์ง๋ค. - ๋คํธ์ํฌ ์ก์์ , ์คํธ๋ฆฌ๋ฐ ๋ฑ์ ์ฌ์ฉ๋๋ค.2) ๋ธ๋ก ์ํธ - ํ ๋ฒ์ ํน์ ๋ธ๋ก(๋ฐ์ดํธ) ๋จ์๋ก ์ํธํ ๋๋ค. - ์ ํด์ง ํฌ.. Security Study/System 2015. 11. 28. ์น ํดํน ๊ธฐ๋ณธ ์น ํดํน์ ํ๋ ๋ฐฉ๋ฒ์๋ ํฌ๊ฒ 2๊ฐ์ง๋ก ๋๋์ด ์ง๋ค.1. ์ง๊ด์ ์ผ๋ก ์ทจ์ฝ์ ์ด ์์ ๋งํ ๋ถ๋ถ์ ์ฐพ์์ ์นจํฌํ๋ ๊ฒ์ด๊ณ ,2. ์ ๋ฐ์ ์ผ๋ก ๋ฐ๊ฒฌ ๊ฐ๋ฅํ ๋ชจ๋ ๊ณต๊ฒฉ ํ๋ฉด์ ์ฐพ์์ ๋งคํธ๋ฆญ์ค๋ฅผ ์์ฑํ ํ ํ๋์ฉ ๊ณต๊ฒฉํด๋ณด๋ ๊ธฐ๋ฒ์ด๋ค. ๊ธฐ๋ณธ์ ์ผ๋ก ํดํน์ ๊ณผ์ ์ ์ ๋ฆฌํ๋ฉด ๊ณต๊ฒฉ ๋์ ์ ์ -> ์ ๋ณด ์์ง -> ์ทจ์ฝ์ ๋ถ์ -> ๊ณต๊ฒฉ -> ํ์ ์ ๊ฑฐ์ด๋ฌํ ์์ผ๋ก ์ด๋ฃจ์ด ์ง๋ค. OWASP TOP10 1 - ์ธ์ ์ ์ทจ์ฝ์ 2 - ํฌ๋ก์ค ์ฌ์ดํธ ์คํฌ๋ฆฝํ 3 - ์ทจ์ฝํ ์ธ์ฆ ๋ฐ ์ธ์ ๊ด๋ฆฌ 4 - ์์ ํ์ง ์์ ์ง์ ๊ฐ์ฒด ์ฐธ์กฐ 5 - ํฌ๋ก์ค ์ฌ์ดํธ ์์ฒญ ๋ณ์กฐ 6 - ๋ณด์์ ์๋ชป๋ ๊ตฌ์ 7 - ์์ ํ์ง ์์ ์ํธ ์ ์ฅ 8 - URL์ ๊ทผ ์ ํ ์คํจ 9 - ๋ถ์ถฉ๋ถํ ์ ์ก ๊ณ์ธต ๋ณดํธ 10 - ๊ฒ์ฆ๋์ง ์์ ๋ฆฌ๋ค์ด๋ ํธ์ ํฌ์๋ Security Study/Web 2015. 11. 24. ์์ ํ๋ก์ธ์ค ๋๋ฒ๊น ํ๊ธฐ ๋๋ฒ๊น ์ ํ๋ค๋ณด๋ฉด ์์ ํ๋ก์ธ์ค๋ ๋๋ฒ๊น ์ด ๋์ง ์์ ๋๋ ์๋๊ตฐ์! ๊ทธ๋์ ํ๋ฒ ๊ฒ์ํด ๋ดค์ต๋๋น!! ๊ฒ์์ ํด๋ณด๋ MSDN์๋์ ์ด ํจ์๊ฐ ๋์ค๋๋ฐ์!! ์ด ์ดํจ์๋ฅผ ์ ์ฝ์ด ๋ณด๋ DEBUG_PROCESS ๋ผ๋ ๊ฒ์ ์ฐพ์ ์ ์์์ต๋๋ค. DEBUG_PROCESS ์ด๋ Process Creation์ ์ธ์๋ก debug_process์ธ์๋ก ๋๊ฒจ์ฃผ๋ฉด ๋๋ค๊ณ ๋ช ์๋์ด ์์ต๋๋ค. Security Study/System 2015. 11. 22. ์ด์ 1 2 3 4 5 6 7 ๋ค์ 728x90 ๋ฐ์ํ
