Penetration/WEB [주요정보통신기반시설] 28. 쿠키변조 2023. 10. 27. 해당 취약점은 세션고정, 세션예측과 같이 로그인시 발행되는 값에 대해서 확인하고 점검하는 방식을 사용하고 있습니다. 취약점 진단가이드의 설명은 아래와 같습니다. 이 내용을 끝으로 취약점 진단가이드의 웹 진단가이드 항목은 끝나지만 추후에 일하게되면서 혹은 학습하게되면서 얻은 사례들은 각 취약점에 추가해서 수정할 예정입니다. 이상입니다~ [주요정보통신기반시설] 27. 데이터 평문 전송 2023. 10. 25. 해당 취약점은 주로 HTTP 프로토콜을 사용해서 통신할때 평문으로 데이터가 전송되므로 발생하는 취약점입니다. 따라서 HTTP 대상이라면 wireshark를 이용해서 데이터가 평문으로 전송되는지 확인하여 점검할 수 있습니다. 취약점 설명은 아래와 같습니다. 이상입니다. [주요정보통신기반시설] 26. 위치 공개 2023. 10. 25. 해당 취약점에 대해 살펴보면 웹 서버에 불필요한 파일이 존재하는지 확인하는 방식으로 점검합니다. 해당 파일들은 공격자에게 특정 단서를 줄 수 있기 때문입니다. 해당 폴더에 대한 패턴들은 취약점 진단 가이드에 적혀있습니다. 이상입니다. [주요정보통신기반시설] 25. 경로 추적 2023. 10. 25. 해당 취약점은 파일 다운로드 취약점과는 조금 다르지만 비슷한 방법으로 점검할 수 있는 취약점 입니다. 가장 중요한 판단 여부는 웹 루트보다 상위 디렉터리에 대한 접근 가능성을 보고 판단합니다. 취약점 진단 가이드는 아래와 같습니다. 이상입니다. [주요정보통신기반시설] 24. 관리자 페이지 노출 2023. 10. 25. 해당 취약점은 특정 경로 입력 혹은 유추하기 쉬운 URL에 관리자 페이지가 노출하는지 확인해야합니다. 따라서 경험을 통해서 관리자 페이지가 어디에 있는지 유추를 해서 찾아야 합니다. 이상입니다. [주요정보통신기반시설] 23. 파일 다운로드 2023. 10. 25. 이번에 알아볼 취약점은 파일 다운로드 입니다. 해당 취약점은 다운로드 중 경로 조작을 통해서 웹 어플리케이션 내의 중요 파일을 다운로드 받을 수 있는 취약점이자 해당 취약점을 이용하여 경로를 파악할 수 있습니다. 주로 진단방법은 다운로드 시 중요파일 경로로 조작하는 방법으로 진단할 수 있습니다. 이상입니다. [주요정보통신기반시설] 22. 파일 업로드 2023. 10. 25. 이번 취약점은 취약점 중 가장 위험하다고 생각되는 파일 업로드 취약점입니다. 해당 취약점은 악성 컨텐츠 취약점과 비슷하게 MIME-TYPE과 확장자를 조작해서 서버 내에서 실행 가능한 형태로 저장되는지 확인하는 방식으로 취약점을 확인합니다. 이후에는 파일 경로를 확인하여 어디에 저장되는지 확인해서 웹쉘을 실행시킬 수 있습니다. 해당 취약점에 대한 진단 가이드는 아래와 같습니다. 이상입니다 [주요정보통신기반시설] 21. 프로세스 검증 누락 2023. 10. 25. 해당 취약점은 불충분한 인가와 구분하기 위해서 나름의 점검 기준을 정했습니다. 해당 취약점에 대해서는 로그아웃 시 URL 직접 접근이 가능한 영역에 대해서 취약하다고 판단하고 나머지는 불충분한 인가 취약점 쪽으로 분류하려고 합니다. 취약점 진단가이드는 아래와 같습니다. 이상입니다. 이전 1 2 3 4 다음
![[주요정보통신기반시설] 28. 쿠키변조](http://i1.daumcdn.net/thumb/C360x240/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FboG29Q%2Fbtszjttdg3g%2FIGrvhMH8eSpROJI1KW2akk%2Fimg.png)
![[주요정보통신기반시설] 27. 데이터 평문 전송](http://i1.daumcdn.net/thumb/C360x240/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbWQ2cS%2Fbtszb472nyM%2F5x8XuVxRfBph9CxkdQtTGk%2Fimg.png)
![[주요정보통신기반시설] 26. 위치 공개](http://i1.daumcdn.net/thumb/C360x240/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FI0fbq%2Fbtsy44PXd0R%2Ff4nJrXeV05NSQ4thgK8FQ1%2Fimg.png)
![[주요정보통신기반시설] 25. 경로 추적](http://i1.daumcdn.net/thumb/C360x240/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FejgQsC%2Fbtsy9liCF2Y%2FvOMf9K19nzlps9VjAxEo0k%2Fimg.png)
![[주요정보통신기반시설] 24. 관리자 페이지 노출](http://i1.daumcdn.net/thumb/C360x240/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FCAEhu%2Fbtsy6hasMlW%2FxJUObhPeFGN570c5Kt4Txk%2Fimg.png)
![[주요정보통신기반시설] 23. 파일 다운로드](http://i1.daumcdn.net/thumb/C360x240/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FGTSXL%2Fbtsy8n1ZAsN%2FkKYWpMNWGotsKz8QLKdCSk%2Fimg.png)
![[주요정보통신기반시설] 22. 파일 업로드](http://i1.daumcdn.net/thumb/C360x240/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FOhiMK%2FbtszbL1SyUo%2FvQskQNXNRiSoKgKFdAcgsk%2Fimg.png)
![[주요정보통신기반시설] 21. 프로세스 검증 누락](http://i1.daumcdn.net/thumb/C360x240/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbEN6KE%2FbtszbsVyObm%2FvUOUVO3fVJavkwDsLZNwI0%2Fimg.png)