본문 바로가기

보안/취약점 분석11

취약점 분석 프로세스 취약점 분석 프로세스 : 취약점 발견 -> 정보 수집 -> POC 수집 및 분석 -> 취약 서버 구성 -> POC 진행 -> 모니터링 패턴 개발 -> 모니터링 진행 및 패턴 검증 -> 패턴 고도화 -> 패턴 릴리즈 -> 보고서 작성 (* 지운 과정은 아직 배우는 단계가 아니라 지움 / 해당 프로세스 출처를 찾지 못함) 악성코드 분석과 취약점 분석의 차이 (개인적 생각) - 악성코드 분석 : 본인에게 맞는 분석 환경을 구축한 후 맞는 툴을 이용해 분석 - 취약점 분석 : 각 취약점이 구현될 수 있는 환경을 개별적으로 설정한 후에 취약점 공격 진행 2022. 1. 21.

웹 사이트(실습용) 취약점 점검 * 홈페이지 게시판과 관련된 보안 취약점: 파일 업로드 취약점, XSS(Cross Site Scripting), SQL 인젝션 * 실습 홈페이지 : OyesMall 1) 파일 업로드 취약점 : 게시판 첨부파일 기능을 이용해 허가되지 않은 파일 들을 웹서버로 업로드 할 수 있는 취약점 ※ 허가되지 않은 파일 확장자 : php, jsp, asp, cgi, js, py, in, pl 등 -> Q&A Board에서 글을 작성할 때는 첨부가능한 확장자가 jpg, hwp, pdf, jpeg, txt 만 가능하다고 하나 실제로 asp 확장자 로 되어있는 첨부파일을 등록한 user 가 있어 파일 업로드 취약점이 있다고 볼 수 있음 -> 업로드 파일에 대한 필터링과 파일 업로드 디렉토리에 대한 실행 ” 권한 제한으로 조.. 2021. 6. 28.

RAON CTF 실습 보호되어 있는 글 입니다. 2021. 5. 31.

Webgoat 실습(2) 보호되어 있는 글 입니다. 2021. 5. 17.

Webgoat 실습(1) 보호되어 있는 글 입니다. 2021. 5. 7.

이전 1 2 다음

티스토리툴바