SECURITY/모의해킹 취약점분석

[모의해킹/취약점분석] 취약한 인증 및 불충분한 세션관리

취약한 인증 및 불충분한 세션관리 1. 점검 개요 1) 모의해킹 및 취약점 진단 대상 : 중요 XXX 서비스 2. 취약점 점검 결과 요약 1) 중요 계약서 미리보기 페이지 인증 취약 a. 취약한 접근제어 b. 적절하지 않은 인증 c. 적절하지 않은 인가 d. 불충분한 세션 관리 3. 상세 내용 1) 적절하지 않은 인가 중요 계약서 미리보기 페이지 취약 URL https://abc.site.com/xxx/Bxxxxxxew.do http 요청시 전달되는 파라미터 XXXX_XX 변수값을 조작하여 현재 접속자가 아닌 다른 사용자로 우회 가능 -> 다른 사용자의 계약서 내용 확인가능 파라미터 조작으로 다른 사람 계약서 확인 화면 2. 불충분한 세션 관리 (세션 취약점) 정상 로그인 -> 발급 받은 Session을..

2022. 2. 15. 17:35

SYSTEM/Windows

[Windows] 배치 스크립트 PC 점검

아주 예전에 쓰던 방법이긴하나 가끔 유용할때가 있다. 예를들어 윈도우10 방문자용 노트북이 10대가 있는데 보안 점검을 일일이 수동으로 해야할때, 매번 10대 이상을 보안 점검 하기는 귀찮은 일이다. 하여 윈도우 batchscript (.bat 파일) 로 윈도우 OS 부팅시 등록해놓으면 자동으로 알아서 실행되며, 점검 결과 파일만 수집하면 번거로운 일을 덜을수있다. 체크 항목 일부 PC 정보 / IP 정보 / hostname / 실행시간 설치 프로그램 확인 (불법 프로그램 설치 방지) 윈도우 업데이트 최신 날짜 백신 설치 여부 (알약 백신 기준) 알약 백신 업데이트 날짜 pc-check.bat 윈도우 배치파일 @echo off cls setlocal set DATE="date /t" set TIME="t..

2022. 2. 15. 13:59