가. 취약점 개요XML 문서를 조회할 경우 입력값 조작으로 XQuery나 XPath와 같은 XML 질의문의 구조를 임의 로 변경하여 허가되지 않은 데이터를 조회하거나 인증절차를 우회할 수 있다. 나. 설계시 고려사항① XML문서를 조회하는 기능을 구현해야 하는 경우 XML질의문에 사용되는 파라미터는 반드시 XML질의문을 조작할 수 없도록 필터링해서 사용하거나, 미리 작성된 질의문에 입력값을 자료형에 따라 바인딩해서 사용해야 한다. (ㄱ) 공통 검증 컴포넌트를 이용한 입력값 필터링 외부입력값에서 XML삽입 공격이 가능한 문자열들을 필터링하 Validator 컴포넌트를 개발하여 XML조회를 수행하는 애플리케이션 작성시 입력값에 대한 검증 작업이 일괄 적용되도록 설계한다. (ㄴ) 필터 컴포넌트를 이용한 ..
가. 취약점 개요데이터베이스(DB)와 연동된 응용프로그램에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력데이터에 SQL 질의문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안 취약점을 말한다. 나. 설계시 고려사항 ① 애플리케이션에서 DB연결을 수행할 때 최소권한의 계정을 사용해야 한다.취약한 애플리케이션으로 인해 침해사고가 발생하더라도 나머지 부분에 대해 공격자가 액세스 권한을 가지지 않도록 애플리케이션에서 사용하는 DB연결 계정은 해당 애플리케이션이 사용하는 데이터에 대한 읽기, 쓰기, 삭제, 업데이트 권한만 설정한다. ② 외부 입력값이 삽입되는 SQL질의문을 동적으로 생성해서 실행하지 않도록 해야 한다. SQL 질의문의 구조가 외부 입력값에 의해 변경되지 않는..
안녕하세요 긴장했는지 잠을 못자고 밤새서 갔는데 운이좋게 턱걸이로 합격했습니다 아슬아슬하게 64점..특히 3영역의 과락 위기가 제일 위태로웠네요..CPPG는 영역 평균(총합계)가 60점 이상이어야하고, 영역 당 과락 점수는 40점을 기준으로 하고있습니다. 기술쪽으로만 공부했던터라 개인정보쪽 관련으로는 아에 지식이 없었으며, 법쪽부분은 거의 졸면서 외웠던 만큼 굉장히 어려웠던 기억이 있습니다.. 그리고 직장다니면서 공부하기가 너무 힘들어요ㅠ 1. 합격률요번 41회(24년 1회차) CPPG 시험은 굉장히 어려웠다고 합니다.제가 강의를 들었던 CPPG WIN 스터디의 기술사님도 이번 시험은 매운맛을 넘어선 아주 매운맛이라고 하셨습니다.(준 ISMS-P 시험 문제 정도로 난이도가 상승했다고 하시네요.....
안녕하세요. 워드프레스 플러그인 취약점 중 하나를 제보하여 PoC를 해보려고 합니다. 0. WordPress Plugin WordPress 플러그인 중 하나인 Advanced iframe 플러그인 입니다.지난글에 작성하였던 iframe과 상당히 유사한 기능을 가지고 있는 플러그인 입니다. 사용법은 간단합니다.위 사진의 내용처럼 shortcode를 이용하여 advanced_iframe태그를 사용하면 끝입니다. Shortcode란 WordPress 내에서 사용하는 매크로 기능이라고 보시면 됩니다.기본적으로 대괄호를 사용하여 지정된 코드나 파라미터를 사용하면 일반 스크립트 태그로 변환되어 적용됩니다. 1. Disallow_unfiltered_htmlPoC 들어가기 전에 WordPress 설정 파일 중 wp..
안녕하세요 오랫만에 글을 작성하네요 제보한 프로그램에 대해 간단히 PoC를 해보려고 합니다. 0. WordPress PluginWordPress 플러그인 중 하나인 iframe 플러그인 입니다10만 유저 가까이 설치하여 사용중이며 플러그인 자체는 굉장히 심플합니다. WordPress 내에서는 보안적인 이유때문에 iframe 태그 사용이 금지되어있습니다.그로 인해 해당 플러그인을 사용하여 iframe 태그를 사용하는 방법 밖에 없어 사용하는 유저수가 많은것으로 판단됩니다. 사용법은 간단합니다.위 사진의 내용처럼 shortcode를 이용하여 iframe태그를 사용하면 끝입니다. Shortcode란 WordPress 내에서 사용하는 매크로 기능이라고 보시면 됩니다.기본적으로 대괄호를 사용하여 지정된 코드나..
1. XSS란 XSS는 Cross Site Script의 약자로 원래라면 CSS가 맞지만 CSS(Cascading Style Sheets)는 웹사이트에 표현되는 방법을 정해주는 스타일 시트 언어로 사용되기 때문에 XSS로 불리게 되었다.웹 서비스에 Javascript 등 스크립트를 실행할 수 있는 코드를 삽입하여 다른 사용자 등에게 공격자가 의도한 스크립트를 실행하게 하는 공격 방법이다. XSS는 유연성이 높아 특이한 부분에서 취약점이 발생하거나 생각지도 못한 기능과 연계되어 취약점이 발생하는 경우도 많다.ex)1. 상장, 이력서, 프린터 등 출력에서의 XSS2. 이미지 HEX값 내 스크립트 구문 삽입3. 메타데이터 내 스크립트 구문 삽입 2. XSS의 종류XSS의 종류는 크게 3개가 있다.Reflect..
