![]()
포맷 스트링으로 특정 위치 변조(오염)하기우선 본격적으로 들어가기 전에 서론 조금만 얘기할게요..분명 나는 웹 해킹 기법 공부하려다가 배보다 배꼽이 더 크게 공부해버림. 주말을 제외하고 하루죙일 포맷 스트링만 한 듯. 그러다가 갑자기 리눅스가 뻗어버려서 살리는데도 하루 넘게 걸리기도 했고.... (CentOS 7 금쪽아 왜 그러는거야 ㅠㅠ) 지금은 해결또 얘기하고 싶은게 있지만 그건 중간에 FSB 설명하면서 넣도록 하겠다.! #include int main(){ int i = 0; printf("press any key!\n"); getchar(); // 브레이크 포인트 여따 검 printf("done: %d\n", i); return 0;}사용한 코드이..
![]()
주요정보통신기반 웹 취약 분석 평가 방법 두 번째 항목인 포맷 스트링(FS)이다.버퍼 오버플로우도 그렇고 포맷 스트링도 그렇고 웹 보안 취약점으로 나오기도 하지만 실상은 시스템 보안 쪽에 가까운 느낌이 많이 난다. 처음 학습할 때도 시스템 해킹 과목에서 들었던 것 같고..그리고 이 취약점이 앞서 공부했던 버퍼 오버플로우보다도 더욱 발생률이 저조하다,,,오버플로우 공격은 오래 전부터 알려지기 시작하여 여러 형태로 발전하면서 굉장히 위협적인 공격으로 변모하였고 인식되고 있으나 포맷 스트링은 발견 이후로 많은 시간이 흘렀으나 크게 발전된 형태 없이 남아있다. 뭐, 그렇다고 공부 중요도가 떨어지겠네 하고 안하는 마인드로 가면 보안 측면에선 좋진 않을 것 같다. 방심할 수 있는 곳에서 항상 터지는게 보안 문제니까..
![]()
주요정보통신기반 웹 취약 분석 평가 방법 첫 번째 항목인 버퍼 오버플로우(Buffer Overflow/BO)버퍼 오버플로우는 지정된 버퍼의 용량을 뛰어넘는 양의 데이터를 버퍼에 저장하려고 시도할 때 발생한다.위의 사진과 같은 경우를 오버플로우가 일어났다고 표현하는데 단지 지정한 버퍼를 넘어서서 저장되는 것이 크게 문제가 될까? 라는 생각이 들 수 있다. 버퍼는 특별하게 할당된 독립된 메모리가 아니다. 지정된 버퍼 뒤의 메모리에서 어떤 작업이 일어나거나 데이터가 저장되어 있을 수 있다. 이를 이용하여 버퍼를 선언한 후 일부러 오버플로우를 발생시켜 특정 메모리의 데이터를 덮어서 시스템 상의 오류, 특정 기능 무력화 등 공격자가 원하는 결과가 나오게끔 하는 것이 버퍼 오버플로우 공격이라 할 수 있다. 이 버퍼..
![]()
최근에 주통기반 취약점을 공부해야 할 필요성을 깨달았다.....이 포스팅을 누군가는 본다면 자기가 아무리 알고 있더라도 말로 내뱉어보는 연습을 하셨으면 좋겠다!!라는 말을 남기고 싶습니다.. 화이팅! 불충분한 인증(IA) / 항목 중요도 : 상주요정보통신기반시설 취약점 분석 평가 방법 가이드의 웹 13번째 항목에 나와있는 불충분한 인증 취약점이다.내용을 보면 인증 절차가 불충분하다 라고 나와있는데 이해하기 쉽게 생각하면 그냥 인증이 잘못 혹은 강하지 않게 구현되었다 라고 생각하면 된다. 잘못된 인증 구현 방법 때문에 생기는 시나리오도 굉장히 많고 치명적인지라 신경써야 할 부분이 많다.어찌보면 굉장히 기본적인거 아닌가?? 싶은 부분이 있을테지만 당연히 기본적인 보안을 지키지 않았을 때 피해가 훨씬 막대하다..
