![]()
1.request GET /example-page HTTP/1.1Host: www.example.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Encoding: gzip, deflate, brAccept-Language: en-US,en;q=0.9,ko;q=0.8Connection: keep-aliveAuthorization: Bearer eyJhbGciOiJIUz..
![]()
1. 백오피스(Back Office)기업의 내부 운영을 지원하는 시스템과 도구를 개발하고 유지 관리하는 역할이다.고객과 직접적인 상호작용이 없는 부서의 업무를 효율적으로 처리할 수 있도록 다양한 소프트웨어 솔루션을 설계하고 구현한다. 2.어드민 페이지(Admin Page)기업이나 웹 서비스의 관리자가 내부 운영을 효율적으로 관리하고 모니터링할 수 있도록 설계된 웹 기반의 인터페이스
![]()
1.마이크로서비스(microservice)대규모 소프트웨어 시스템을 개발할 때 사용되는 아키텍처 스타일중하나각 서비스를 작은 독립된 단위로 나누어 개발하고 관리하는 방식이다.각 서비스가 특정 기능을 담당하며, 서로 다른 기술 스택을 사용할 수도 있다. 다음처럼 마이크로서비스를 각각 제작하여 사용할수있다.[사용자 관리] → 로그인, 회원가입, 프로필 관리 ↘️ [주문 관리] → 주문 생성, 상태 관리 ↘️ [결제 서비스] → 결제 처리 ↘️ [이메일 알림] → 예약 상태 업데이트
![]()
1.SSRF(Server-Side Request Forgery)공격자가 서버를 속여 의도하지 않은 요청을 수행하도록 유도하는 웹 취약점 2.web-ssrf 문제localhost 또는 내부 IP를 입력할 경우, 내부 에러 이미지를 반환하는 검사를 시행하고있지만다양한 방법으로 우회할수있다.그러면 내부 포트는 무차별 대입방법으로 찾을수있다.@app.route("/img_viewer", methods=["GET", "POST"])def img_viewer(): if request.method == "GET": return render_template("img_viewer.html") elif request.method == "POST": url = request.fo..
![]()
1.File Vulnerability파일 처리 과정에서 발생할 수 있는 보안 취약점공격자가 서버의 파일을 부적절하게 접근하거나 조작할 수 있게 되는 상황이다. 1-1.Directory Traversal (디렉토리 순회)파일 경로를 조작하여 시스템에서 허가되지 않은 디렉토리나 파일에 접근하는 공격file_path = f"/var/www/files/{request.args.get('filename')}"with open(file_path, 'r') as f: data = f.read() 다음코드에 이러한 파일이름을 넣게 되면 시스템에서 허가되지 않은 디렉토리나 파일에 접근할수있다./../../etc/passwd 1-2. File Upload Vulnerability (파일 업로드 취약점)서버에 악..
![]()
1.Command Injection애플리케이션이 외부 명령어를 실행하기 위해 사용자 입력을 포함하는 경우, 공격자가 악의적인 명령어를 삽입하여 시스템 명령을 실행하도록 유도하는 공격 기법 1-1.쉘 명령어 체인 기법체인 연산자(;, &&, ||)를 사용하여 추가적인 명령어를 실행 1-2.리다이렉션 및 파이프 기법리다이렉션(>, >>)과 파이프(|)를 사용하여 명령어 출력을 조작하거나 연결된 명령을 실행 1-3.서브 명령어 실행 기법명령어를 서브셸로 실행하기 위해 $() 또는 백틱(``)을 사용 2.command-injection-1 문제풀기flag.py 에있는 flag 값을 얻어내는 문제다 ping 엔드포인트가 존재하며 POST로 받았을때 cmd 명령어를 다음과같이 폼에서 받은 ho..
![]()
1.안티패턴(Anti pattern)특정 상황에서 잘못된 해결책이나 비효율적인 방법을 사용하여 문제를 해결하려는 시도실제 많이 사용되는 패턴이지만 비효율적이거나 비생산적인 패턴을 의미한다. 1-1.Code Sprawl특정 코드 영역이 지속적으로 확장되며, 복잡도가 증가하고 유지보수가 어려워지는 상황public class Example { public void function1() { // 초기 기능 코드 } public void function2() { // 추가된 새로운 기능 } public void function3() { // 또 다른 기능 } public void function4() { // 또 다른 ..
![]()
1.Blind SQL Injection서버가 SQL 쿼리를 실행한 후, 결과를 클라이언트에게 반환하지 않고 특정 응답 패턴을 통해 공격자가 데이터를 추출할 수 있도록 하는 방식 1-1.Boolean Blind SQL Injection서버가 단순히 "TRUE" 또는 "FALSE" 값을 반환하는 방식으로 동작하는 공격SELECT username FROM users WHERE username = 'admin' AND EXISTS (SELECT * FROM users WHERE username = 'admin') -- 1-2.Error-based Boolean Blind SQL InjectionSQL 오류를 기반으로 True/False 값을 결정하는 기법으로, 특정 SQL 구문을 사용하여 오류 메시지를 얻..
