소개
:: 국내 정보보안 솔루션 개발 기업 재직 ::
- 앱 위변조 방지 솔루션 : 미들웨어 담당 / 해킹 대회 운영진 / 국내 유명 해킹/방어 훈련장 제작
:: 국내 정보보안 전문 업체 재직 ::
- 블랙박스 모의해킹 / 시나리오 기반 모의해킹 / 웹 취약점 진단 / 모바일 취약점 진단 / 소스코드 취약점 진단 / APT 모의 훈련 / DDoS 모의훈련 / 인프라 진단 / 스마트 가전 진단
- 국내 대기업, 중소기업 다수 진단
:: 외부 교육 및 활동 ::
- 멀티캠퍼스, 국가 보안 기술 연구소(ETRI)
- 국내 정보보안 업체 : 재직자 대상 "웹 모의해킹 심화 교육" 진행중
- 해커팩토리 문제 제작
:: 취약점 발견 ::
1) Web Application Server 취약점
- TMAX JEUS : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
- IBM WebSphere(CVE-2020-4163) : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
2) CMS(Contents Management System) 취약점
- 네이버 스마트에디터 : 파일 업로드 취약점
- 그누보드 : SQL Injection , 파일 업로드 취약점(그누보드4, 그누보드5), XSS ...
- 킴스큐 : 파리미터 변조 취약점 , 파일 업로드 취약점
* 이메일 : crehacktive3@naver.com
* 블로그 : http://www.crehacktive.co.kr
강의
전체18로드맵
전체2수강평
- 예제를 보여주면서 아주 쉽게 설명해서 많은 도움이 되었습니다.
baeyoonk
2024.04.26
0
- 좋은 강의 감사합니다.
최민기
2024.04.26
0
- 좋은 강의 감사합니다.
학습자
2024.04.22
0
게시글
질문&답변
2024.04.10
? 플레이스 홀더 문자
안녕하세요. Prepared Statement는 SQL 인젝션의 대응방법입니다. 이 방법은 아직 우회 기법은 없습니다.(물론 취약하게 코딩할 경우 제외) 만약 이 방법이 우회가 된다면 전 세계적으로 큰 이슈가 되겠죠.ㅎ 말씀하신대로, 해당 웹 서비스에서 모든 입력 값에 대해 Prepared Statement 처리를 하면 안전합니다. 그러나 Prepared Statement가 적용될 수 없는 경우도 있습니다.(이부분은 강의에서 설명을 드렸습니다.) 모든 웹 서비스의 모든 입력 값에서 Prepared Statement로 처리가 되면 모든 웹 서비스는 SQL 인젝션에 안전하기 때문에 SQL 인젝션이란 기술은 의미가 없게 됩니다. 그러나 그렇게 될 수는 없습니다. SQL 인젝션은 웹 서비스의 범주에서만 가능한 공격이 아니며 데이터베이스와 연동 되어 있는 모든 어플리케이션에서도 가능합니다. 또한 웹 서비스를 개발하는 개발자들이 경우에 따라선 Prepared Statement를 사용하지 않는 경우들도 있습니다.
- 0
- 1
- 130
질문&답변
2024.03.27
mysql case when 구문이용
mssql의 경우는 연결 연산자가 +이기 때문에 +로 가능합니다. like '%'+(case when 1=1 then 'test' else 'aaaaaa' end)+'%' mysql의 경우는 이런 구문 만들지 못합니다. concat의 경우는 title like '%' and concat(~~~~ 이런 형태만 가능하며, like '%문장%' 이안에서는 활용하지 못합니다.
- 1
- 1
- 72
질문&답변
2024.03.21
접근 제어 로직 구현 실수 관련해 질문있습니다.
일반적으로는 안전하다고 볼 수 있지만 세션이 파일로 저장되는데 웹 디렉터리 상에 있어서 웹으로 볼수있거나 DB에 저장되는데 SQL 인젝션 공격으로 세션을 탈취할 수 있거나 등... 이런 다양한 경로를 통한 잠재적 위협은 존재합니다. JWT 경우도 안전하게 설계를 한다면 안전하다고 볼 수 있구요.
- 1
- 1
- 50
질문&답변
2024.03.21
섹션 1 5번째 강의 질문
UNION 구문 없이 단독 SELECT 구문으로 두개의 컬럼 1,2를 반환을 하게 되면 두개의 컬럼이 반환되기 때문에 구문 에러가 발생되게 됩니다. 구문 에러가 발생되면 SQL 구문이 실행되지 않기 때문에 저희가 의도한 행위를 하지 못하게 됩니다. 따라서 구문 에러 없이 case when 구문을 통해 에러를 발생 시켜야 되는데 그 방법이 union을 통한 방법입니다. 이유는 구문 실행을 해야 다중 레코드인지 알 수 있기 때문 입니다.
- 1
- 1
- 58
질문&답변
2024.03.21
www.wgw.co.kr에 접속이 안됩니다.
hosts 파일 혹은 vhost 설정 다시 확인해보시고 아파치 재기동, 윈도우 재부팅을 해보실래요?
- 1
- 1
- 45