'll Hacker

A04 : Insecure Design설계 단계에서 필요한 보안 제어가 완전히 구현되지 않거나 비효율적으로 구현된 경우를 말한다. 설계 결함으로 인해 이후 개발 단계에서 여러 취약점이 발생할 가능성이 생긴다. 이러한 설계 결함은 소프트웨어 시스템이 적절한 보안 방어 장치를 갖추지 못하도록 만들 수 있으며, 그 결과 시스템이 특정 공격에 취약해질 수 있다. 안전하지 않은 설계 vs 안전하지 않은 구현?설계 결함은 소프트웨어 시스템의 보안 요구사항이 처음부터 잘못 정의되었거나 아예 반영되지 않았을 때 발생한다. 비즈니스 리스크 평가가 제대로 이루어지지 않아서 발생한다. 이거는 수정할 수가 없다구현 결함은 설계 자체는 올바르게 되었지만 실제 코드를 작성하는 과정에서 오류가 발생하는 것을 의미한다. 잘못된 코드..

A03 : Injection💚사용자가 제공한 데이터가 검증(필터링)하지 않은 경우,💚SQL 쿼리 등을 작성할 때 사용자 입력값을 직접 문자열로 붙이는 방식으로 쿼리를 만드는 경우,💚 파라미터화가 아닌 동적 쿼리 방식을 사용하는 경우, 용어정리⏬더보기1. 동적쿼리 - 애플리케이션에서 실행 중에 쿼리 문자열을 생성하는 방식 2. 쿼리 문자열 - 사용자 입력 등에 따라 실시간으로 쿼리의 내용이 변경될 수 있음. - SQL 쿼리를 작성할 때 사용자의 입력값을 직접 쿼리에 삽입하는 경우가 이에 해당한다. 3. 이스케이프 - 입력값이 쿼리의 일부분으로 해석되지 않고 문자 그대로 처리되도록 하기 위한 방법이다. - 쿼리나 코드에서 특수문자나 입력값이 의도하지 않은 방식으로 해석되지 않도록 처리 예를 들어, 사용..

A02️⃣: Cryptographic Failures민감한 데이터 노출의 원인이 암호화이라고 생각해서 이름을 변경했다고 한다.암호화 시스템이 실패하면 악의적인 행위자가 암호화된 데이터에 무단으로 액세스하여 이를 해독하고 자신의 이익을 위해 악용할 수 있다. 암호화 실패로 인해 발생하는 가장 중요한 위험 중 하나는 개인정보 노출이다. 조직과 개인은 재무 정보, 의료 기록 및 개인 식별 정보와 같은 기밀 데이터를 보호하기 위해 암호화에 의존한다. 암호화 시스템이 실패하면 이 정보는 도난 및 오용에 취약해진다.이것 때문에 하나의 사건이 있다.https://namu.wiki/w/SK%ED%85%94%EB%A0%88%EC%BD%A4%20%EC%9C%A0%EC%8B%AC%20%EC%A0%95%EB%B3%B4%20%..

OWASP top 10 리스트웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들을 커뮤니티에서 연구하고 그 중 top 10을 발표한다1️⃣ Broken Access Control (취약한 접근제어) 💚인증을 우회하여 권한없는 리소스 접근 가능 2️⃣ Cryptographic Failures (암호화 실패) 💚민감한 데이터 노출 위험, 암호화 설정 오류 3️⃣ Injection (인젝션) 💚악의적 명령 삽입 (SQL, NOSQL. OS 등) 4️⃣ Insecure Design (불완전한 설계) 💚보안이 고려되지 않은 시스템 설계 5️⃣ Security Misconfiguration (보안 설정 오류) 💚잘못된 보안 설정, 디폴트 설정 유지 ..

Purpose ▶️ Goal모의해킹 대비로 왜 OWASP를 왜 하는 것인가? 라는 질문을 할 수 있다.우리학교 금융보안원에 재직 중이신 선배님께 금보원가고 싶기도 하고 여쭤봤다. 그리고 플젝 같이 했던 팀원이 CTF에서 입상하였다고 해서 물어봤기도 했다. 입상한 사람의 말을 듣고 CTF에서 문제 하나라도 풀고 싶어서 OWASP top 10 공부를 해야되겠다 싶어서 동아리에서 심화스터디로 OWASP top 10 강의를 진행하기로 하였다.OWASP이란?Open Web Application Security Project는 소프트웨어 보안 향상을 목표로 하는 오픈 소스 애플리케이션 보안 커뮤니티이다.OWASP Top 10은 개발자가 설계하고 배포하는 애플리케이션의 보안을 강화할 수 있도록 가장 중요한 애플리케이..

개념 설명펌웨어? 컴퓨팅과 공학 분야에서 특정 하드웨어 장치에 포함된 소프트웨어로, 소프트웨어를 읽어 실행하거나, 수정하는 것도 가능한 영구적 소프트웨어를 뜻한다.  [펌웨어 대략적인 구조]boot loader : 하드웨어 부팅에 필요한 기본 요소kernel : 운영체제의 커널과 같은 역할을 수행하는 영역file system : 펌웨어의 기능이 포함되어 있는 영역other : 데이터 저장 공간 등 기타 영역[펌웨어의 특징]전자기기 등의 기본적인 제어와 구동을 담당한다다른 소프트웨어보다 우선적으로 하드웨어의 기본적인 동작을 제어할 수 있다.펌웨어가 없거나 이상이 생기면 해당 기기는 우리가 흔히 말하는 벽돌이 된다. 소프트웨어 기능을 펌웨어로 변경하면 속도가 증가한다하드웨어의 기능을 펌웨어로 변경하면 저렴하..

문제 설명주어진 바이너리 파일에서 플래그를 찾아보세요!힌트는 압축 패스워드는 ZIP 구조 어딘가에...입니다.풀이힌트를 보게 되면 zip 파일이라는 것을 알 수 있다. zip 구조 파악zip 파일은 압축된 여러 개의 파일을 하나로 묶어 저장하는 형식이며, 내부적으로 여러 개의 파일 설명자와 중앙 디렉터리로 구성된다.local file descriptors = 로컬 파일 설명자zip파일에는 개별 파일이 저장되는데, 각각의 파일에는 다음 요소들이 포함된다.로컬 파일 헤더(Local file Header) : 파일 정보(파일명, 압축 방식, 크기 등)를 저장한다.압축 및 암호화된 데이터 : 파일의 실제 데이터가 압축 및 암호화된 형태로 저장된다.옵션 데이터 설명자 : 일부 Zip 파일에서 사용되며, 데이터 길..

1. Write up 작성https://portswigger.net/web-security/access-control/lab-user-role-controlled-by-request-parameter Lab: User role controlled by request parameter | Web Security AcademyThis lab has an admin panel at /admin, which identifies administrators using a forgeable cookie. Solve the lab by accessing the admin panel and using it to ...portswigger.net/admin 에 들어갈 수 없다고 뜸로그인 페이지버프스위트에서 응답이 쿠키를 ..