볼통통 알파카의 사회생활

중요 자원에 대한 잘못된 권한 설정 공격 설명 응용프로그램이 중요한 보안 관련 자원에 대하여 읽기 또는 수정하기 권한을 허가할 경우, 권한을 갖지 않은 사용자가 해당 자원을 사용하게 된다. 여기서 권한이 있을 경우 Python의 os.fchmod, os.chmod 등의 함수를 사용하여 파일 생성 및 읽기 모드에서 권한을 설정할 수 있다. 서버 중요 자원 권한 설정 공격 안전 코딩 예 설정 파일, 실행파일, 라이브러리 등은 SW 관리자에 의해서만 읽고 쓰기가 가능하도록 설정하고, 설정 파일과 같이 중요한 자원을 사용하는 경우 허가받지 않은 사용자가 중요한 자원에 접근하지 못하게 검사한다. def write_file(): # 소유자 외에는 아무런 권한을 주지 않음 os.chmod('/root/system_c..

파일 업로드 공격이란? 서버 측에서 실행될 수 있는 스크립트(asp, jsp, php, sh 등)파일 등 이 업로드 가능하면, 이 파일을 통해 공격자가 웹서버에서 직접 접근 기반을 마련하는 공격 기법이다. 파일 업로드 공격 방법 1. 공격자가 실행 가능한 파일을 서버에 업로드한다. 2. 파이썬에서 문자열 형식으로 표현된 형식을 인수로 받는다. 3. 인수를 반환하는 eval이나 인수로 받은 문자열을 실행하는 exec 함수를 같이 사용해 여러 변수들을 실행시킨다. 이는 웹 쉘 공격에 취약하게 만드는 방법이다. 파일 업로드 시큐어 코딩 예시 ​ # 업로드 하는 파일에 대한 개수, 크기, 확장자 제한하는 설정 FILE_COUNT_LIMIT = 5 # 업로드 하는 파일의 최대 사이즈 제한 (5MB - 5*1024..

경로조작 및 자원삽입 공격 설명 외부 입력값을 통해 파일 및 서버 등 시스템 자원에 대한 접근 또는 식별을 허용할 경우, 입력 값 조작을 통해 시스템이 보호하는 자원에 임의로 접근할 수 있는 보안취약점. 공격자는 게시글 혹은 데이터의 수정, 삭제, 정보노출, 시스템 장애 등을 유발 할 수 있음. 즉, 공격자가 허용되지 않은 권한을 취득하여 설정에 관계된 파일을 변경하거나 실행시킬 수 있는 공격 경로조작 시큐어코딩 예시 필터링 적용 예(Django프레임워크) def get_info(request): # 외부 입력 값으로 받은 파일 이름은 검증하여 사용한다 request_file = request.POST.get('request_file') filename, file_ext = os.path.splitext..

오랜만에 노트북 또는 PC를 켰을 때 비밀번호를 까먹어 사용하지 못한 경우가 있을 것이다. 혹은 회사 PC비밀번호를 바꿨는데 기억이 안 나는 경우 이 방법을 사용해 보는 걸 추천한다. 설치 CD 또는 USB를 통해 백도어 만들기 우선 윈도우10 설치 지원하는 USB나 CD가 필요하다. 1. BIOS로 진입 하기.(F2, F10 혹은 delete 키) 부팅 때 보이는 키를 입력하면 됨 2. CMOS에서 부팅 순서 바꾸기 USB 혹은 CD를 1번 순위로 바꿈 3. 윈도우 10 설치 초기 메뉴 진입 4. 쉬프트 + F10 누르기 5. CMD 창에 diskpart 입력 6. list volume 입력 7. 윈도우 OS 설치된 디스크 확인 8. os 설치 디스크 확인 후 exit로 설정하는 창으로 빠져나옴 9. ..