[Secure]_#02_[ 포맷스트링, LDAP 인젝션, SQL-injection, blind sql injection, OR 1=1, 필터링, 바인딩, PreparedStatement ]
점검 내용 : 웹 애플리케이션 포맷 스트링 취약점 존재 여부 점검 점검 목적 : 공격자의 포맷 스트링 취약점을 통한 악의적인 행위를 차단하기 위함. 보안 위협 : C언어로 만드는 프로그램 중 변수의 값을 출력하거나 입력받을 때, 입력받은 값을 조작하여 프로그램의 메모리 위치를 반환받아 메모리 주소를 변조하여 시스템의 관리자 권한을 획득할 수 있음. ** 메모리 위치 -> 서버 취약점 ** 해당 메모리에 대해 error가 뜨기 때문에 결국 와 똑같다. 대상 : 웹 애플리케이션 소스코드, 웹 기반 C/S 프로그램. ** C/S 프로그램 : 인터넷을 사용하는 프로그램(도사관 자리 예약 앱, 식당 키오스크) -> 엄밀히는 웹 취약점 분석이라곤 할 수 없다. // 트리 형태의 자료 구조(ex. 조직체계도) - 취..
2021. 9. 5.