전체 글
-
-
SW보안약점진단원 취득 후기Certification/SW보안약점진단원 2023. 7. 28. 19:39
7/15(토)에 SW보안약점진단원 시험을 봤다. SW보안약점 진단원 양성과정 오프라인 교육을 7/3 ~ 7/7 수료 후 추가적인 준비 기간이 일주일 밖에 없어서 걱정했는데, 다행히 한번에 합격 할 수 있었다. 예상했던것보다 점수가 높게 나와 SW보안약점 진단 관련 개념이 잘 잡혀있다는 증거같아서 기분이 좋았다. (점수를 걱정 했던 이유는, 내가 쓴 답에 확신이 없었던 것은 아니지만 교재에 나온 내용을 그대로 외워서 답을 썼다기보다는 평소 모의해킹과 같은 취약점 진단 업무를 하면서 쌓아왔던 개념들을 더 활용해서 답을 적었다는 느낌이 들었기 때문이다.) 참고로, 종합 점수 70점만 넘으면 합격이다. 단, 실기/필기 각 과정에서 과락(60점 미만)이 없다는 전제 하에... 간단하게 SW보안약점진단원 취득 과정..
-
Keyword NoteCertification/SW보안약점진단원 2023. 7. 15. 01:45
[설계 단계] 4분류 / 20가지 입력데이터 검증 및 표현 - 10 보안 기능 - 8 에러처리 -1 세션통제 - 1 1. 입력데이터 검증 및 표현 1-1. DBMS 조회 및 결과 검증 - DBMS 조회 시 질의문(SQL) 내 입력값과 그 조회결과에 대한 유효성 검증방법(필터링 등) 설계 및 유효하지 않은 값에 대한 처리 방법 설계 * 애플리케이션에서 DB연결을 수행할 때 최소권한의 계정을 사용해야 한다. * 외부입력값이 삽입되는 SQL쿼리문을 동적으로 생성해서 실행하지 않도록 해야한다. - ORM프레임워크 사용, 정적쿼리구조, ORM프레임워크에서 제공하는 함수를 사용하여 외부 입력값에 의해 SQL 질의문 구조가 변경되지 않도록 * 외부입력값을 이용해 동적으로 SQL쿼리문을 생성해야하는 경우, 입력값에 대..
-
-
-
[HTB] Neonify WriteupWargame/Hack The Box 2023. 5. 19. 20:15
주어진 페이지에 접속해보자. 문자열을 입력하면 네온사인처럼 빛나게 출력해주는 웹 페이지가 나타난다. 상세 소스를 분석해보자. ruby언어로 이루어져 있으며, neon파라미터의 값이 ERB.new() 처리가 되는데, 선행되는 조건은 입력값이 영어대소문자, 스페이스, 숫자 로만 이루어져야 한다. class NeonControllers < Sinatra::Base configure do set :views, "app/views" set :public_dir, "public" end get '/' do @neon = "Glow With The Flow" erb :'index' end post '/' do if params[:neon] =~ /^[0-9a-z ]+$/i @neon = ERB.new(params[:..
-
-
[HTB] Diogenes' Rage WriteupWargame/Hack The Box 2023. 5. 4. 20:20
주어진 페이지를 들어가보니 자판기처럼 꾸며놓은 페이지가 나타났다. 주어진 소스코드를 분석해보자. // index.js const fs = require('fs'); const express = require('express'); const router = express.Router(); const JWTHelper = require('../helpers/JWTHelper'); const AuthMiddleware = require('../middleware/AuthMiddleware'); let db; const response = data => ({ message: data }); router.get('/', (req, res) => { return res.render('index.html'); });..