검색 본문
namu.wiki 보안 취약점 - 나무위키 보안 취약점(脆弱點, vulnerability)은 공격자가 시스템의 정보보증을 낮추는데 사용되는 약점이다. 보안 취약점은 세가지 요소를 갖추고 있는데, 1. 시스템에 결함이 있고, 2. 공격자가 결함에 접근할 수 있으며... 개요 주요 사건 관련 문서 2024.05.04 웹문서 검색 더보기 Log4j 보안 취약점 사태 - 나무위키 2022년 Roblox 채팅 취약점 사태 - 나무위키 rlaqjarl97.tistory.com IT 초보가 기록하는 블로그 클라우드 기반 취약점 분석 및 대응 실무 [ 세 번째 정리 ] 48 안녕하세요 ! 이번 글은 클라우드 기반 취약점 분석 및 대응 실무 세 번째 정리를 해보려고 합니다. 바로 시작하도록 하겠습니다. 1. 도커 컨테이너 취약점 분석 사례 도커 컨테이너의 취약점은 다양한 형태로 나타날 수 있습니다. 이미지 취약점, 컨테이너 간 통신 보안 문제, 호스트 시스템 보안 결함 등이 포함될 수... 도커 클라우드 취약점 진단 및 대응 실무 도커 컨테이너 취약점 분석 사례 2024.05.07 블로그 검색 더보기 클라우드 기반 취약점 대응 및 실무 [두 번째 정리] 클라우드 기반 취약점 진단 및 대응 실무 [첫 번째 정리] ggonmerr.tistory.com 꼰머의 보안공부 VPN 취약점 (TunnelCrack, TunnelVision) 7 익명성, 암호화, IP 우회 등의 장점과 속도 저하, 일부 국가 불법 등의 단점이 있음 2. TunnelCrack [1] - 23.08.08 VPN의 두 가지 보안 취약점이 결합된 트래픽 유출 취약점이 발견 > 해당 공격은 사용되는 VPN 프로토콜과 무관 > 많은 VPN 클라이언트는 다음 두 가지 유형의 트래픽을 VPN 터널 외부로 전송하기 위해... VPN DHCP tunnelcrack tunnelvision cve-2023-36672 cve-2023-35838 cve-2023-36673 cve-2023-36671 cve-2024-3661 옵션 121 2024.05.12 ConnectWise ScreenConnect 인증 우회 취약점 (CVE-2024-1709) Openfire 경로 탐색 취약점 (CVE-2023-32315) jyjyjy25.tistory.com 기록하는 습관 [WebHacking] 파일 업로드 취약점 12 파일 업로드 취약점이란? 파일 업로드 기능에 대해서 발생하는 취약점으로, 공격자는 비정상 파일을 서버에 업로드한다. 정상 파일과 비정상 파일은 서버 사이드 스크립트로 작성된 웹쉘 코드이냐 아니냐로 구분된다. 악성 스크립트가 웹 서버에 업로드 된다면 업로드한 파일을 통해 시스템 명령어를 실행할 수 있게... 공격 Hacking 취약점 웹해킹 파일 업로드 취약점 2024.05.15 [WebHacking] URL 접근 제한 미흡 취약점 [WebHacking] 파라미터 변조 취약점 dot9.tistory.com Blo9 Apache Sping4Shell 취약점 분석 1.개요 Vigil@nce #Vulnerability of Spring Framework: overload via SpEL Expression. https://t.co/bLjTihE1Sb Identifiers: #CVE-2022-22950. #CyberSecurity pic.twitter.com/TDLhba2Eqx— vigilance_en (@vigilance_en) March 28, 2022 2022년 03월 30일 KnownSec 404 보안팀의 Heige 연구원이 PoC 실행 화면을 공개 하였습니다. 원격 코드 실행(RCE)으로 이어지 2.영향을 받는 버전 해당 취약점을 발생시키기 위한 두 가지 충족 조건 [KISA]Spring Java 프레임워크 보안 업데이트 권고 // 보안공지 CVE-2022-22965 (Spring4Shell) // CVSS v3 : 9.8 / 10.0 JDK9 이상 사용 Spring MVC FrameWork, Spring WebFlux, TomCat (3중 택1) Spring Framework 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 이전 버전 CVE-2022-22963. // CVSS v3 : 9.8 / 10.0 JDK9 이상 사용 3.취약점 조회 방법 3-1. JDK 버전 확인 JDK 8 버전 이하인 경우 취약점의 영향을 받지 않습니다. java –version JDK 9 버전 이상일 경우 본문 아래 2번을 따라하여 주시길 바랍니다. 3-2. Spring 프레임워크 사용 확인 find. –name spring–beans*.jar find. –name spring*.jar find. –name CachedIntrospectionResuLts.class 해당 명령어를 차례대로 입력하여 파일이 존재한다면 Spring 프레임워크를 사용하여 시스템을 개발하였으므로 취약한 서버 입니 4.해결 방법 응용 프로그램에서 Maven the Spring Framework 버전을 업그레이드 합니다. Spring Framework 5.3.18 및 5.2.20 버전의 경우 취약점 패치가 되어있습니다. <properties> <spring–framework.version>5.3.18</spring–framework.version> </properties> Gradle 업그레이드 ext[‘spring-framework.version’] = ‘5.3.18’</code> 현재 업데이트를 통한 패치가 불가능 할 경우 @Contro 5. 취약점 원인 분석 [사진2] getCachedDesciptorCache 메소드 내 class 속성확인 애플리케이션 요청 매개변수를 POJO에 바인딩하기 위해 “getCachedIntrospectionResults” 라는 메소드를 호출한 후 캐시의 Object 속성을 가져옵니다. POJO는 @RequestBody annotation이 적용되어 있지 않아야 합니다. [사진3] 문제의 코드 수정 // 출처 : Github Spring 개발자에 의해 Mar 31, 2022 날짜로 문제가 발생한 ‘CachedIntrospectionResults.java’ 6. 취약점 상세 분석(실습) 환경 구성 – Spring4Shell 취약 서버 : Ubuntu 22.04, Docker – 실습자료 (Apache Tomcat/9.0.59, Spring Framework 5.3.0, JDK9) – 취약한 서버 IP : 115.0.0.172 – Exploit 서버 : Ubuntu 22.04, exploit.py – Exploit IP : 115.0.0.84 6-1. 터미널 실행 Spring4Shell 취약 서버를 구성하고자 합니다. – 아래 명령어를 입력하게 되면 컨테이너에 이미지 다운로드, 환경 구성, 실행 하게됩니다. – D 7.Exproit 분석 def run_exploit(url, directory, filename): log_pattern = “class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Bprefix%7Di%20” \\ f“java.io.InputStream%20in%20%3D%20%25%7Bc%7Di.getRuntime().exec(request.getParameter” \\ f“(%22cmd%22)). 6 해당 취약점을 발생시키기 위한 두 가지 충족 조건 [KISA]Spring Java 프레임워크 보안 업데이트 권고 // 보안공지 CVE-2022-22965 (Spring4Shell) // CVSS v3 : 9.8 / 10.0 JDK9 이상 사용 Spring MVC FrameWork, Spring WebFlux, TomCat (3중 택1) Spring Framework 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 이전 버전 CVE-2022-22963. // CVSS v3 : 9.8 / 10.0 JDK9 이상 사용 2024.04.25 통합웹 더보기
서비스 안내 스토리의 글을 대상으로 검색결과를 제공합니다. 자세히보기 codingd0.tistory.com 코딩두의 포트폴리오 취약점(vulnerability) 2 취약점이란? 공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점 컴퓨터 시스템, 네트워크, 소프트웨어 등에서 발견할 수 있는 보안 결함 취약점 유형 소프트웨어 취약점 프로그래밍 오류, 설계의 결함 등으로 발생 공격자가 시스템을 손상, 민감한 정보에 접근 가능 네트워크 취약점 네트워크 설정 오류, 프로토콜... 2024.05.10 티스토리 검색 더보기 brunch.co.kr Master Seo 37탄-5. AWS - 웹 취약점보기, 테스트 환경 7 <1> 웹서버 취약점 동영상 미리 보기 <2> 웹보안 DVWA 테스트 환경 구축 - 실습 <1> 웹서버 취약점 동영상 미리 보기 1 https://youtu.be/laQAQeuuJF4?si=YJfdjUnCmOPnAtKV 2 https://youtu.be/qzas_-u4Nxk 3 https://youtu.be/bSGqBoZd8WM?si=PlnlxWrBhlfqn5fv <2> 웹보안 DVWA 테스트 환경 구축 - 실습 DVWA에서 다운... web PHP 2023.09.24 브런치스토리 검색 더보기 story.kakao.com 일요신문 일요신문 - 카카오스토리 연예기획사 구조적 취약점 드러내 투자 경계심 높아져 최근 경영 지표도 악화 #하이브 #민희진 #뉴진스 #방시혁 #경영권 #풋백옵션 #상장 2024.05.08 카카오스토리 검색 더보기
이지시큐 www.aegisecu.com/ 신청자 작성 정보보호 인증 컨설팅(ISMS-P, ISO27001 등) 기업. KISA 정보보호 클러스터(판교) 470호. 정보보호통합관리솔루션(ATHENA), ISMS-P 인증 컨설팅, 취약점 점검, 모의해킹. 전화고객센터: 1855-1535 채널 장소 파인더갭 findthegap.co.kr 신청자 작성 더 나은 보안문화를 함께 만드는 기업 파인더갭입니다. 경기 성남시 수정구 대왕판교로 815 판교제2테크노밸리 기업지원허브 혁신기술존 4층 정보보호클러스터 451호. 버그바운티 플랫폼 - 기업이 버그바운티 플랫폼을 운영할 수 있는 플랫폼을 제공하여 플랫폼에 가입된 대규모의 화이트해커에게 지속해서 보안취약점을 제보 받고 포상합니다 전화고객센터: 070-8648-0614 채널 장소 시큐아이 www.secui.com/ 정보보호 솔루션 업체. 정보보호 전문서비스 지정 기업, 네트워크, DDoS 방어, 통합관리, 취약점 분석 서비스 안내. 전화고객센터: 02-3783-6600 장소 사이트 더보기
서비스 안내 Melon Company가 운영하는 음악 서비스입니다. 다른 사이트 더보기 취약점 (Security Holes) 브금강사 (BGM Teacher) 앨범 해킹범을 찾아 떠나는... 2020.03.06.