전체 글
-
[CIO Korea] 칼럼 | 하이브리드 클라우드가 비효율적이라는 고정 관념study/technical study 2024. 2. 27. 23:59
https://www.ciokorea.com/column/326311 칼럼 | 하이브리드 클라우드가 비효율적이라는 고정 관념 측정 가능한 목표, 맞춤형 아키텍처, 지속적인 테스트 및 모니터링을 구현해 하이브리드 클라우드는 비효율적이라는 고정 관념을 깨보자.클라우드 www.ciokorea.com 위 글을 기반으로 작성했습니다. 측정 가능한 목표, 맞춤형 아키텍처, 지속적인 테스트 및 모니터링을 구현해 하이브리드 클라우드는 비효율적이라는 고정 관념을 깨보기 클라우드 업계에서는 '하이브리드 클라우드'의 의미를 항상 명확히 할 필요가 있음 한때는 프라이빗 클라우드와 퍼블릭 클라우드의 결합으로 정의되었지만, 이제는 퍼블릭 클라우드가 아닌 모든 시스템이 퍼블릭 클라우드와 함께 작동하는 것을 포괄하는 개념 하이브리드..
-
Dreamhack - Mangowargame/Dreamhack 2024. 2. 27. 14:28
[LEVEL 2 - Mango - web] 일단 문제 파일을 다운로드 받고 문제 환경에 접속하면 위와 같다. Query&Type을 보면 이용자가 전달한 쿼리의 값과 타입을 반환하는 코드에서 요청 결과를 보면 string 외에 다양한 형태의 object도 쿼리로 전달될 수 있다. 로그인 페이지를 구성하는 코드에서는 MongoDB에 쿼리를 전달하는 부분을 살펴보면, 쿼리 변수의 타입을 검사하지 않는다. 따라서 이로 인해 NoSQL Injection 공격이 발생할 수 있다. /login 에서는 로그인에 성공했을 때의 이용자의 uid만 출력한다. Blind NoSQL Injection을 통해 admin의 upw를 획득해야 한다. 우선 MongoDB의 $regex 연산으로 정규표현식을 이용해 데이터를 검색할 수 ..
-
Dreamhack - simple_sqliwargame/Dreamhack 2024. 2. 21. 21:23
[LEVEL 1 - simple_sqli - web] SQL Injection 문제 중에서도 가장 간단한 문제로 보인다. 문제 환경에 접속한 첫 화면이다. 로그인 페이지로 가서 userid를 admin으로 하되 더블쿼트와 --를 써서 데이터베이스 상의 비밀번호 조건을 없애버린다. 따라서 userid 칸에는 admin"--를 입력하고 password 칸에는 아무거나 1234라고 써준다. 그러면 화면에 flag가 아래와 같이 출력된다. 플래그를 획득했다!
-
-
-
[Theori] A사 공식 사이트 디페이스 해킹을 통한 피싱 사례study/technical study 2024. 2. 17. 17:16
https://blog.theori.io/deface-phishing-82b27b6e2256 A사 공식 사이트 디페이스 해킹을 통한 피싱 사례 2023년 5월 17일, 티오리 Security Assessment 팀에서는 A사의 국내 공식 홈페이지에서 디페이스 해킹 발생을 확인했습니다. blog.theori.io 위 글을 기반으로 작성했습니다. 2023년 5월 18일 업데이트 : A사 홈페이지의 /assets/js/slick.js가 원상 복구되어 피싱 공격 중단됨을 확인 개요 2023년 5월 17일, 티오리 Security Assessment팀에서 A사의 국내 공식 홈페이지에서 디페이스 해킹 발생을 확인 공격자는 페이지 변조를 통해 네이버 계정을 탈취하는 피싱 공격을 수행 분석 결과, 5월 17일 17시 ..