감자 텃밭

SQL Injection 공격을 을 수행하다 보면 공격자로부터 WebApplication을 보호하기 위해 수많은 보호기법 및 필터링이 적용되어 있다. 이러한 필터링에 대해 적절한 유효성 검사를 하지 않는다면, 공격자는 손쉽게 적용된 필터링을 우회하여 WAS에게 악의적인 질의를 통해 Database의 정보를 유출하거나, 시스템상의 피해를 입힐 것이다. SQL 인젝션에 적용된 필터링에 대한 적절한 우회기법에 대해 정리해자. SQL Injection을 학습 해가며, 알게 된 정보들을 추가하고 있으며, 계속해서 새롭게 알게 된다면 지속적으로 추가할 것이다. 공격을 알아야 방어를 안다. 1. 주석을 통한 우회 # (URI 부분에서 SQL Query를 전달할 경우 %23으로 url 인코딩을 통해 전달해야 한다. U..

Cause of occurrence 특정 파일을 생성 및 수정을 하다 보면 자동으로 백업파일이 생성되게 된다. 이때 자동으로 생성된 백업파일을 적절하게 이동 및 삭제하지 않고 방치하면, WebApplication에서 쉽게 노출되어, 공격자에게 쉽게 넘어갈 수 있다. 백업파일의 일부 확장자는 아래와 같다. .backup . bck . old . save . bak . sav ~ . copy /orig . tmp . txt . back . bkp . bac . tar . gz . tar.gz . zip . rar 특히나 Linux의 많은 텍스트 편집기(vim, gedit 등)는 파일을 편집하는 동안 백업 파일을 생성하게 되므로 항상 작업을 완료한 후에는 확인 후 안전하게 처리하여야 한다. 예를 들어, Lin..

What is Webpack? 웹팩(Webpack)은 js에서 주로 사용되는 모듈 번들라이다. 호환 플러그인을 포함하는 경우 HTML, CSS, JPG 등 프런트엔드 자산들을 변환할 수 있다. 즉, 각각의 Web Application을 구성하는 자원을 각각의 모듈로 보며, 이를 하나로 합치는 역할을 해준다. 모듈 번들링이란? 종속성이 있는 모듈을 가져와서 웹 애플리케이션에 포함될 수 있는 단일 번들을 생성하는 도구이다. 모듈 - 하나의 큰 파일을 여러 개로 분리하게 될 때 분리된 각각의 파일을 모듈이라 부른다. 쉽게 생각해서, 하나의 스크립트, 또는 흩어져 있는 각각의 함수의 기능을 을 나눈 것 또한 모듈이라고 보면 된다. 이러한 모듈이 합쳐져서 하나의 파일을 생성하게 되는 것이다. Vulnerbilit..