A1 - Injection 인젝션(삽입) 은 데이터 입력이 가능한 장소를 찾아 데이터 입력시 악의적인 데이터를 삽입해 타겟의 인터프리터로 전송하는 공격 방법이다. 사용자의 입력값이 검증되지 않거나, Object-Relational Mapping 이 사용되지 않거나, 사용자 입력값을 필터링/이스케이핑 하지 않을 때 취약점이 일어난다. 가장 유명한 인젝션으로는 SQL 인젝션이 있지만, 그 외에도 OS 커맨드 인젝션,…
OWASP & OWASP Top 10 소개 Open Web Application Security Project (OWASP) 는 2001 년도에 만들어진 국제 온라인 보안 단체다. 웹, 모바일, IoT과 관련된 보안, 툴, 문서, 방법론등을 만들며, 거의 모든 자료를 무료로 배포하고 있다. OWASP 가 진행한 프로젝트 중 가장 유명한 것은 OWASP Top 10 인데, 이는 매 2~3년마다…
들어가며 이 글에서는 취약점 분석 방법과 InfiniteWP Client < 1.9.4.5 (CVE-2020-8772) [https://nvd.nist.gov/vuln/detail/CVE-2020-8772] 라는 워드프레스 플러그인 취약점 분석을 진행한다. 글 자체는 IWP 플러그인의 취약점에 대해서 설명하지만, 사실 중요한 부분은 취약점 분석 방법이다. 따라서 너무 디테일에 신경쓰기 보단 전반적인 큰 그림을 보는 것을 추천드린다.…
요약 1. 취약한 워드프레스 환경을 자동으로 구축해주는 깃헙 리포를 발견했습니다. 하지만 이런저런 문제점으로 에러가 나서 그것을 고친 뒤 배포하기로 결정합니다. https://github.com/ChoiSG/vwp 한글 리드미는 여기서 참고해주시기 바랍니다. - https://github.com/ChoiSG/vwp/blob/main/README.ko.md 2. 직접 리포에 가셔서 클론 하신 뒤 간단하게docker-compose up…