본문 바로가기

hyunnna

Notice

Link

Calendar

Archives

Visits

Today

Yesterday

2024/05/27

보안/취약점 2024. 5. 27. [CVE-2019-19781] CitrixADC 및 CitrixGateway 취약점 💥 취약점 요약CitrixADC 및 CitrixGateway 에서 원격 공격자는 디렉토리 통과 요청을 쉽게 보내고 사용자 인증 없이 시스템 구성 파일에서 중요한 정보를 읽고, 임의 코드를 원격으로 실행 할 수 있다. Directory traversal 취약점을 이용하여 경로명을 잘못 처리할 때 발생되며 시스템 검증은 하지 않고 들어오는 요청에 직접 경로를 사용하게 된다. /vpn/.. 경로를 포함하여 요청하는 경우 /vpn/services.html은 Citrix 제품에서 실행되는 Apache 서버로 /vpn/..에서 경로를 변환하여 /vpns/로 간단히 진입하게 된다/vpn/../vpns/services.htmlApache 시스템에는 해당 취약점이 있으며 이를 통해 원격 공격자는 사용자 인증 없이 ..

보안/취약점 2024. 5. 27. [CVE-2022-22965] Spring4Shell 취약점 이 취약점이 발생하는 주요 원인은 spring framework에 data binding 기능에 있다. 이 취약점을 통해 공격자는 애플리케이션의 컨텍스트에서 권한 없는 원격 코드를 실행 할 수 있다. 또한 특정 상황에서 class라는 특수한 변수가 사용자에게 노출되어 classloader에 접근할 수 있을때 발생하게 된다. 💥 취약점 발생 절차① 취약한 애플리케이션 설정취약한 Spring 애플리케이션이 JDK 9이상에서 실행중Spring MVC 또는 Spring WebFlux 애플리케이션이 있으며 Data Binding 기능을 사용중② 악의적 입력 전달공격자는 HTTP 요청을 통해 특정 매개변수를 조작하여 애플리케이션에 전달한다. 'class.module.classloader'와 같은 필드를 포함하는..

보안/취약점 2024. 5. 27. [CVE-2018-12116] Node.js SSRF 취약점 📌 모듈 외부에 영향을 받지 않은 독립된, 재사용 가능한 코드들의 묶음이다. 📌 require() Node.js는 모듈단위로 기능을 분리 할 수 있고, 분리된 기능을 조립하여 사용이 가능하다. require로 모듈을 불러오면 그 즉시 실행된다는 특징이 있다. require 메소드를 통해 외부 모듈을 가져올 수 있는데 require 메소드는 node가 local object에 추가한 메소드로서 다음과 같이 파라미터로 추가할 모듈의 파일 경로값을 받는다.require('파일경로'); app.js 파일 안에 test.js을 추가해서 console.log를 넣어준다. 이 상태에서 커맨드 창에 node app.js를 실행시키면 test.js 코드가 인식되지 않는다. app.js와 test.js는 같은 폴더..

이전 1 다음

티스토리툴바