목록끄적끄적 (54)
끄적끄적
※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요. Command Injection / Execution 정의시스템 명령어를 호출하는 어플리케이션의 인자 값을 조작하여 의도하지 않은 시스템 명령어를 실행시키는 공격system(), exec(), passthru() 함수 등Server Side 공격 공격 방법코드가 아래와 같이 있다고 하면exec( ping + 사용자입력값 );원래는 127.0.0.1 을 입력하면 ping 127.0.0.1이 실행사용자 입력값에 127.0.0.1; ls -al 이렇게 ';'을 붙이면 뒤에 명령어도 실행 가능
※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요. File Inclusion 정의공격자가 웹 어플리케이션에 자신의 파일(또는 코드)을 삽입하는 공격Server Side 공격 기법 File Upload와 차이점직접 파일을 업로드하지 않아도 외부 url을 입력해서 다른 서버에 있는 공격코드를 삽입할 수 있다. 공격 목적권한 밖의 데이터 열람 ( /etc/passwd )시스템 내부 명령 실행 ( ls, halt )악성코드 유포 공격 방법취약하게 개발된 웹 페이지의 변수를 조작해 해커가 원하는 내용(파일, 코드 등)을 웹 페이지 내에 포함검증되지 않은 사용자 입력 정보 ( url, parameter 등 )를 include, require 함수의 인자로 사용될 ..
※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요. File Upload 정의파일 업로드 기능을 악용하여 웹 서버에 악성파일을 업로드 하고, 이를 통해 공격웹 서버에 웹쉘을 업로드 하기 위한 용도로 많이 사용됨 Web Shell공격을 목적으로 제작된 웹 기반의 Shell 프로그램단순한 명령어 실행부터 파일 컨트롤, 리버스 커넥션까지 OS의 거의 모든 기능 수행 방어파일 확장자 검사업로드 대상 파일의 확장자 검사해서 실행가능 스크립트 ( php, jsp, asp, shtml 등)의 업로드 차단shell.pHpshell.jpg.phpshell.php%00.jpgshell.jpg;.php업로드 파일을 원본 파일명이 아닌 확장자가 없는 임의의 파일명으로 저장파일..
※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요. SQL Injection 정의응용 프로그램 보안 상의 허점을 의도적으로 이용해, 개발자가 생각지 못한 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격 방법공격 목적권한 밖의 데이터 열람, 조작웹 페이지 변조시스템 권한 획득 공격 방법취약하게 개발된 웹 페이지의 변수를 조작해 SQL 명령 수행SQL 쿼리쿼리문 내에 사용자 입력이 가능한 변수가 있을 때사용자 입력 검증 과정 누락Error-Based InjectionBlind Sql Injection불필요한 쿼리문 주석처리 ( '#', '--', 'admin'--userid'# Blind InjectionUser Input ..
※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요. CSRF ( Cross Site Request Forgery ) 정의사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면,CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출됨Client Side 공격 기법 사례 유..
※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요. XSS 정의웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점주로 다른 웹사이트와 정보를 교환하는 식으로 작동하므로 사이트 간 스크립팅이라고 함Client Side 공격 기법 스크립트 자체는 서버에 저장되기도 하지만 실질적인 공격 행동은 서버가 아닌 클라이언트에서 이루어 짐 공격 방법주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 공격이 이루어짐웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타남. 공격 목적사용자의 정보(쿠키, 세션 등) 탈취자동으로 비정상적인 기능을 수행하게 함 종류 영구적 XSS ( ..
※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요. 웹 해킹서버에서 제공하는 Response를 편집해서 권한 밖의 행위 가능웹 어플리케이션 / 웹 게임 해킹맵핵, 게임 핵MiTM(Man In the Middle Attack)Packet Editing서버에 악성코드를 저장한 후 접근하는 클라이언트를 공격 (Client Side 공격 )서버에 접속하는 모든 일반 클라이언트를 대상으로 공격 수행XSS (Cross Site Scripting)CSRF(Cross-site Request Forgery) : 사이트 간 요청 위조서버 자체의 취약점을 이용해 서버 권한을 탈취 (Server Side 공격)위의 모든 공격 가능SQL InjectionFile upload웹 ..
현재 날씨, 오늘, 내일, 모레 날씨 정보를 받아와서 보여주는 기능curl -4 http://wttr.in/도시이름 curl 명령어를 사용할 수 있어야만 합니다. 서울 날씨 정보curl -4 http://wttr.in/Seoul 오사카 날씨 정보curl -4 http://wttr.in/Osaka 인천 날씨 정보수도 이런 곳이 아니어도 가능한 듯 합니다. curl -4 http://wttr.in/Inchon
중복된 코드한 클래스의 서로 다른 두 메소드 안에 같은 코드가 있는 경우Extract Method동일한 수퍼클래스를 갖는 두 서브클래스에서 같은 코드가 있는 경우Extract Method 후 Pull Up Method비슷하지만 같지는 않다면비슷한 부분 Extract Method 후 Form Template Method 사용 가능한지 확인같은 작업을 하지만 다른 알고리즘을 사용한다면두 알고리즘 중 더 명확한 것 선택해서 Substitute Algorithm 사용서로 관계 없는 두 클래스에서 중복된 코드가 있는 경우Extract Class 사용한 다음 양쪽에서 이 새로운 클래스를 사용 긴 메소드어떤 것에 대해 주석을 달아야 할 필요를 느낄 때마다 대신 메소드를 작성하라단지 한 줄의 코드라 할지라도 그것이 설..
출처 : http://wonhada.com/?p=1873 인터페이스(Interface)에 대한 설명은 항상 모호하고 장황합니다. (클래스는 더 하죠)그냥 ‘어떤 메소드를 가지고 있는지 알려주는 것’ 정도로 이해하면 됩니다.1 2 3 4 5 public interface IPlayer { void play(); void pause(); void stop(); }이제, IPlayer를 구현(implements)한 클래스는 play, pause, stop 메소르를 가지고 있다는걸 알 수 있습니다.“좋아요. 쉽네요. 근데, 왜 쓰죠? 이유를 알면 좋겠어요.”네. 알아 보죠. (-: 1. 혼자 개발하는 사람은 메소드를 다 알고 있으니 인터페이스를 만들 필요가 없겠죠. 하지만, 불특정 다수가 쓴다면 어떨까요. 문서..