로픽의 IT블로그

설치 환경 & 버전 환경 : ubuntu 16.04.6 lts maltrieve 버전 : v6 python 버전 : 2.7 에러 & 조치방안 에러#1 - ImportError: No module named req 조치방안 https://www.it-swarm-ko.tech/ko/python/pipreq%eb%9d%bc%eb%8a%94-%eb%aa%a8%eb%93%88%ec%9d%b4-%ec%97%86%ec%8a%b5%eb%8b%88%eb%8b%a4/1048385874/ python — pip.req라는 모듈이 없습니다. Tweepy를 설치하고 있지만 pip.req에 대한 오류가 발생합니다. pip가 설치되어 있지만 어떤 이유로 pip.req를 여전히 찾을 수 없습니다. 나는 온라인에서 많은 연구를했는데 ..

https://www.krcert.or.kr/data/reportView.do?bulletin_writing_sequence=26747 KISA 인터넷 보호나라&KrCERT KISA 인터넷 보호나라&KrCERT www.boho.or.kr

취약점코드 CVE-2019–11581 Vendor Atlassian Jira Software 영향받는 버전 4.4.x 5.x.x 6.x.x 7.0.x, 7.1.x, 7.2.x, 7.3.x, 7.4.x, 7.5.x 7.6.x before 7.6.14 (the fixed version for 7.6.x) 7.7.x, 7.8.x, 7.9.x, 7.10.x, 7.11.x, 7.12.x 7.13.x before 7.13.5 (the fixed version for 7.13.x) 8.0.x before 8.0.3 (the fixed version for 8.0.x) 8.1.x before 8.1.2 (the fixed version for 8.1.x) 8.2.x before 8.2.3 (the fixed versi..

취약점 코드 CVE-2020-0796 Vendor Microsoft Windows 영향받는 버전 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1909 for x64-based Systems Windows Server, Version 1903 (Server Core installation) Windows Server..

취약점 코드 CVE-2018-7600 Vendor Drupal (Open CMS) 취약점 요약 - Drupal 의 Form API Ajax 요청 프로세스에서 입력값 검증이 제대로 이루어지지 않아 공격자로부터 악의적인 코드를 내부 양식 구조에 삽입할 수 있는 취약점. - Drupal 보안팀은 해당 취약점을 "Drupalgeddon2" 로 명명. 영향받는 버전 Drupal 7.x < 7.58 Drupal 8.x < 8.3.9 Drupal 8.4.x < 8.4.6 Drupal 8.5.x < 8.5.1 취약점 상세 설명 - Add 취약점 공격 코드 분석 취약한 Drupal 8 버전의 경우, URL_user/register 에서 공격 구문이 실행가능하다. #post_render 배열의 경우 PHP 시스템 명령 함..

취약점 코드 CVE-2018-2628 Vendor CVE-2018-2628Oracle Weblogic 취약점 요약 2018년 4월 Oracle WebLogic 서버의 RMI 레지스트리를 역직렬화로 원격 코드를 실행할 수 있는 취약점이 확인. 4월 정기 보안 업데이트를 통해 패치가 되었으나 우회 가능한 방법이 공개되었음. 영향받는 버전 Oracle Weblogic 10.3.6.0 / 12.2.1.2 / 12.1.3.0 / 12.2.1.3 취약점 설명 자바 직렬화 란? - JVM의 메모리에 상주된 객체 데이터를 바이트 형태로 변환하는 기술 - 자바 직렬화 형태의 데이터 교환은 자바 시스템 간의 데이터 교환을 위해서 존재 (Servlet 세션, 캐시, Java RMI 등에 이용) 자바 역직렬화 란? - 직렬화..

OWASP TOP 10 - 2017 OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표했다. OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 3년 단위로 발표되었고, 문서를 공개하였다. 가장 최근 발표는 2017년이다. TOP 10 - 2013 과 변경된 점 * A4:2017 - XML 외부 개체 (XXE) [신규] * A5:2017 - 취약한 접근 통제 [2013:A4와 A7과 통합] * A..

Lord of SqlInjection - 9번 VAMPIRE 9번 Vampire 문제는 str_replace를 주의깊게 보셔야합니다. str_replace 함수는 특정문자열을 치환해주는 함수입니다. 아래의 캡처를 보시면 'admin' 문자열을 ""(공백)으로 치환시켜줍니다. 결과값으로 admin을 출력하기 위해서는 id 값을 admin으로 설정하는 것이 필수입니다. str_replace를 우회하는 방법을 찾아서 해결해야합니다. 더보기 *** 정답 *** ?id='Admin' ?id='adadminmin' str_replace 우회 방법 - 대소문자를 혼용하여 사용. - adadminmin => 이런 식으로 admin 문자열을 포함시켜 문장을 완성.

Lord of SqlInjection - 7번 ORGE 7번 문제는 LOS 6번을 응용한 blind Sqlinjection 입니다. preg_match('/or|and/i', $_GET[pw]) 함수로 인해 sql 쿼리에 or 및 and를 사용할 수 없습니다. and => %26%26, &&로 대체 or => %7c%7c, ||로 대체 위에 특수문자를 이용하여 대체할 수 있습니다. URL 파라미터에 ?pw=' || length(pw)=8%23 를 입력하면 위와 같이 'Hello admin' 메시지가 나옵니다. admin의 패스워드는 8자리 입니다. 이후 파이썬 코드를 이용하여 brute force를 하여 패스워드 확인을 할 수 있습니다. 더보기 *** 정답 *** ?pw=' || id='admin' %2..

Lord of SqlInjection - 8번 TROLL 8번 문제의 경우 PHP ereg 함수를 주의깊게 봐야합니다. ereg 함수는 특정문자열이 포함되어 있는지 체크합니다. 하지만 ereg 함수는 대소문자를 구분합니다. 이 점을 이용하여 문제를 해결할 수 있습니다. 더보기 *** 정답 *** ?id=aDmIN ?id=Admin 등등 대소문자를 구분하므로 대체 함수인 preg_match 사용을 권장드립니다.