[KOR] OWASP JuiceShop 으로 알아보는 OWASP Top 10 - 1. Injection

A1 - Injection 인젝션(삽입) 은 데이터 입력이 가능한 장소를 찾아 데이터 입력시 악의적인 데이터를 삽입해 타겟의 인터프리터로 전송하는 공격 방법이다. 사용자의 입력값이 검증되지 않거나, Object-Relational Mapping 이 사용되지 않거나, 사용자 입력값을 필터링/이스케이핑 하지 않을 때 취약점이 일어난다. 가장 유명한 인젝션으로는 SQL 인젝션이 있지만, 그 외에도 OS 커맨드 인젝션,…

[KOR] OWASP JuiceShop 으로 알아보는 OWASP Top 10 - 0. 환경구축

OWASP & OWASP Top 10 소개Open Web Application Security Project (OWASP) 는 2001 년도에 만들어진 국제 온라인 보안 단체다. 웹, 모바일, IoT과 관련된 보안, 툴, 문서, 방법론등을 만들며, 거의 모든 자료를 무료로 배포하고 있다. OWASP 가 진행한 프로젝트 중 가장 유명한 것은 OWASP Top 10 인데, 이는 매 2~3년마다…

[KOR] 취약점 분석 - CVE-2020-8772

들어가며이 글에서는 취약점 분석 방법과 InfiniteWP Client < 1.9.4.5 (CVE-2020-8772) 라는 워드프레스 플러그인 취약점 분석을 진행한다. 글 자체는 IWP 플러그인의 취약점에 대해서 설명하지만, 사실 중요한 부분은 취약점 분석 방법이다. 따라서 너무 디테일에 신경쓰기 보단 전반적인 큰 그림을 보는 것을 추천드린다. 내가 현재 사용하고 있는 취약점 분석 방법은…

[KOR] VWP - 취약한 워드프레스 환경

요약취약한 워드프레스 환경을 자동으로 구축해주는 깃헙 리포를 발견했습니다. 하지만 이런저런 문제점으로 에러가 나서 그것을 고친 뒤 배포하기로 결정합니다. https://github.com/ChoiSG/vwp 한글 리드미는 여기서 참고해주시기 바랍니다. - https://github.com/ChoiSG/vwp/blob/main/README.ko.md 직접 리포에 가셔서 클론 하신 뒤 간단하게  docker-compose up --build 으로…