반응형 SQL Injection2 XPath 인젝션 취약점 XPATH 인젝션 취약점이란? -> 코드 : XI -> 점검항목 : XPath -> 개요 : 데이터베이스와 연동된 웹 어플리케이션에서 XPath및 XQuery 질의문에 대한 필터링이 제대로 이루어지지 않을 경우 공격자가 입력이 가능한 폼에 조작된 질의문을 삽입해서 인증 우회를 통해 XML 문서로부터 인가되지 않은 데이터를 열람할수 있는 취약점 결국 injection의 한 종류이다. 가장 많이 알려진 sql injection 과의 차이점은 사용되는 문법에서 차이가 있다. sql injection은 input값에 들어가는 값이 쿼리로 이동을 하지만 xPath injection은 코드로 이동을 해서 동작을 한다. xpath injection에 대한 사이트이다. https://cheatsheet.haax.fr/.. 2023. 9. 25. log4j 란? 얼마전에 세계적으로 취약점으로 알려진 log4j 라고 들어보신 분들이 많을것이고 it에서 종사하시는 분들이라면 기업에서도 실제로 대응한 경험이 있을 것이다. 간단하게 설명하며 어떤 놈이길래 전세계가 덜컥했는지 알아보도록 할것이다. 일단 log4j 이슈는 2021년 12월 9일 알리바바에서 일하는 어떤 분에 의해서 발견이 되었고, 시작은 12월 1일부터 시작했다고 한다. 대략 1주일 넘게 알아채지 못했다고 한다. 사람이나 기업이든 서버에 log를 남겨두는것을 좋아한다. 로그인 기록이나 접속이력이나 검색기록, 수정, 삭제, 등등 모든것을 기록으로 남긴다. 이 기록들을 log라고 하고 숫자 4는 대한민국에서 언어유희? 처럼 for를 의미하는것이고 j는 자바의 약자이다. 결국은 log for java 이며 세계.. 2022. 5. 14. 이전 1 다음 반응형
