Recently Updated Pages
1.6. Key Pair 보관 관리
취약점 설명 Key Pair를 통해 EC2에 접근할 경우 일반 패스워드 보다 훨씬 보안성은 높지만 키 페어 파일이 유출, 탈취될 경우 공격에 취약할 수 있다. * 쉽게 말...
1.7. Admin Console 관리자 정책 관리
취약점 설명 AWS Console에 가입하게 되면 가장 처음으로 생성하게 되는 계정은 모든 서비스에 접근할 수 있는 최고 관리자 계정이다. root 계정이라고 보통 부르며...
1.8. Admin Console 계정 Access Key 활성화 및 사용주기 관리
취약점 설명 Access key는 AWS에서 사용하는 인증수단으로 해당 계정의 액세스 키를 가지고 있을 경우 손 쉽게 로그인이 가능하다. 07번 항목에서 설명했다시피 AW...
LFI / RFI 취약점 시연
설명 php와 apache2를 사용하여 LFI / RFI 취약점을 시연한다. LFI = Local File Inclusion RFI = Remote File In...
03. 스프링부트 도구 설치하기
스프링 부트 라이브러리 설치 웹 개발을 도와주는 스프링 부트의 도구(라이브러리)를 설치해보자 라이브러리 = 개발 시 자주 사용하는 코드를 모아 둔 것이라고 할 수 있다. ...
02. Controller 만들기
01. 컨트롤러 만들기 프로젝트를 생성했으니 이제 예시로 페이지를 만들어 보려한다. http://localhost:8080/hello 라는 URL을 만들어 테스트할 것이...
01. 스프링 부트 설치
01. JDK 설치 - 자바로 만든 웹 프레임 워크이기 때문에 자바 설치가 필요 설치 링크 : https://www.oracle.com/java/technologies/d...
04. 불필요한 명령어 사용 제한
설명 웹 페이지 중에 명령어를 입력할 수 있는 칸이 있다면 공격자가 악의적인 명령어를 입력할 수 있으므로 비활성화 해주어야 한다. 단순한 예제로 Command inje...
03. 외부 URL 파일 인클루드 비활성화
설명 개발언어는 보통 다른 파일들을 불러와 사용할 수 있다. 파이썬의 import 혹은 php의 include 등등... 외부에서 만들어 놓은 php 파일을 URL에 ...
02. 불필요한 헤더 정보 노출
설명 웹 모의해킹 시 프록시 툴을 사용하여 응답 값을 확인할 때가 많은데 웹서버의 버전 정보가 노출되는 경우가 있다. php 8.3, nginx 1.27 처럼 EOS가...
01. 오류 메시지 노출 [시작]
설명 고객사에서 웹 모의해킹을 하다보면 개발용 웹페이지, 관리자 페이지에서 흔하게 볼 수 있는 취약점이다. 디버깅에 편의성을 올리기 위해 오류를 웹 페이지에 출력하는 ...
06. 최신 보안 패치 적용 [마무리]
설명 거의 대부분의 자산 종류에서 마지막을 장식하는 항목 EOS를 확인하여 보안패치를 지원하고 있는 버전인지 확인을 한다. 딴소리 단순히 서버 업데이트만 하면 조치...
05. PHP 실행 경로 제한
설명 웹 서비스 진단 시에도 있는 path traversal 취약점 관련 설정이다. http://localhost/home.html 이라는 경로가 존재할 경우, 상위 ...