목록분류 전체보기 (79)

One_Blog

HTTP/2 rapid reset _ 신속한 재설정 취약점 [CVE-2023-44487]

CVE-2023-44487 취약점은 최근에 발견된 HTTP/2 프로토콜을 대상으로 하는 DoS 계열 취약점입니다. CVSS 7.5 등급을 평가 받은 취약점이며, 인터넷에 노출된 모든 HTTP/2 엔드포인트에 영향을 미칠 수 있습니다. 해당 취약점의 경우, 취약점이 발생만 한다면 웹 서비스에 메인 서비스 장애 등의 파급력을 끼칠 수 있기에, 발 빠르게 대처해야 해당 취약점에 대한 피해를 막을 수 있습니다. 이와 같이 AWS, Microsoft 등 IT 계열 대기업들이 해당 취약점에 대해 대처하고 취약점의 위험성, 발생원리 ,테스트 방법등을 알리는 것을 확인할 수 있습니다. https://github.com/bcdannyboy/CVE-2023-44487 GitHub - bcdannyboy/CVE-2023-4..
웹해킹 2023. 10. 14. 21:48
EJS Server Side Template Injection 취약점 [CVE-2022-29078]

최근 드림핵 워게임을 풀다가 이 취약점을 여러번 보게 되서.. 한번 공부할 겸 글을 쓰게 되었다. 해당 글에서 소개하는 PoC 코드는 EJS 3.1.6 이하에서 동작합니다. 하지만 그렇다고 그것보다 높은 버전에서 취약점이 발생하지 않는 것은 아니고, EJS 3.1.9까지도 해당 취약점이 동작할 수 있습니다. 실제로 PoC 코드도 존재합니다. 하지만 PoC 코드는 다른 분들 블로그에서도 공개되지 않은 것 같아서, 따로 공개하지 않겠습니다. 블로그 읽어보시고 취약점에 대해 선행 공부를 마친 후, 직접 코드를 분석하시면서 공격벡터를 찾아보시기 바랍니다. EJS Github : https://github.com/mde/ejs/blob/80bf3d7dcc20dffa38686a58b4e0ba70d5cac8a1/li..
웹해킹 2023. 10. 7. 22:05
2023 화이트햇콘테스트 후기 + Web 라이트업

이번에 본선 못갔으니 빨리 쓰고 넘기도록 하겠다. 이번에 웹이 C언어로 만들어진 서버랑 misskey라는 분산형 마이크로 서비스 (오픈소스)를 이용한 서버가 나왔는데, 솔직히 말해서 너무... 어려웠다. 일단 misskey의 경우 디렉토리 구조가 너무 더러워서 분석할 엄두가 안났고, C언어 서버의 경우 IDA를 이용해서 분석해야 했다. (바이너리 파일을 줬다..) 솔직히 같은 취약점류에 PHP , Python, JS, JAVA였으면 풀었을 거 같은데 ... 아마 사람들도 C여서 못풀고 디렉토리 구조가 복잡해서 못풀었던 거 같다. 종합적으로 C서버는 1 solve, Miss key는 0 solve가 나왔다. CTF 나와서 하나도 못 푼적은 처음이었다. 본선을 못갔으니 서론은 여기까지 하고, 바로 라이트업을..
후기,라이트업 2023. 9. 18. 15:11
WhiteHatSchool 2023.09.10 컴퓨터구조 수업 과제 제출 [WHS]

보호되어 있는 글입니다.
과제 2023. 9. 11. 19:15
이전 Prev 1 ··· 3 4 5 6 7 8 9 ··· 20 Next 다음