의미없는 블로그

https://www.boannews.com/media/view.asp?idx=135380&kind=1 [긴급] 아파치 제품 3종에서 위험도 10점 만점 등 초고위험도 취약점 3개 발견아파치 소프트웨어 재단은 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트를 발표했다. 아파치 제품 3종에서 발견된 취약점은 위험도가 10점 만점에 달하는 초고위험도 취약점을 포함www.boannews.comhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-56337 CVE - CVE-2024-56337Time-of-check Time-of-use (TOCTOU) Race Condition vulnerability in Apache Tomcat. This issue af..

전자금융거래법제1조(목적) 이 법은 전자금융거래의 법률관계를 명확히 하여 전자금융거래의 안전성과 신뢰성을 확보함과 아울러 전자금융업의 건전한 발전을 위한 기반조성을 함으로써 국민의 금융편의를 꾀하고 국민경제의 발전에 이바지함을 목적으로 한다. 제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다. 3. “금융회사”란 다음 각 목의 어느 하나에 해당하는 기관이나 단체 또는 사업자를 말한다.가. 「금융위원회의 설치 등에 관한 법률」 제38조제1호부터 제5호까지, 제7호 및 제8호에 해당하는 기관나. 「여신전문금융업법」에 따른 여신전문금융회사다. 「우체국예금ㆍ보험에 관한 법률」에 따른 체신관서라. 「새마을금고법」에 따른 새마을금고 및 새마을금고중앙회마. 그 밖에 법률의 규정에 따라 금융업 및 금융 관련..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

Path Manipulation경로 조작 취약점 (파일 업로드/다운로드 등) 걍 new File 키워드로 파일 관련된 부분 몽땅 다 잡는다얘가 입력값으로 부터 오는건지 어디서 오는건지는 걍 다 봐야됨 Wrapper.java 에 getParameter 가 있으면 전처리 라고 생각하는지모든 케이스마다 다 붙여서 나옴  Util.jspString filenames = System.getProperty("catalina.home") + "/conf/server.xml"File serverXml = new File(filenames);... 걍 filnames 가 입력값인지 뭔지 상관없고new File 이니까 걍 잡음

Content-Disposition: attachment 로 설정되어 있으면응답값이 파일로 떨어진다 @WebServlet("/DownloadHandler") public class DownloadHandler extends HttpServlet {  private static final long serialVersionUID = 1L; protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { \    String sHTML = request.getParameter("save_string");    String decodeSHTML = URLDecode..

보호되어 있는 글입니다.

Nessus 에서 Apache 버전에 관련된 취약점들 많이 잡히는데ex) Apache ex) Apache 2.4.x  해당 버전의 Apache 에서 CVE 취약점들 존재하는 경우 Critical 로 뜬다 근데 Nessus 가 스캐너자나어떻게 아파치 버전을 확인하겠어걍 웹 서비스 응답헤더에 박히는 정보로만 알 수 있겠지(그래서 웹 서비스 응답헤더만 지우면 아마 못잡을 것이다..) 근데 이번에 응답헤더에 이렇게 박힌것들다 Apache 버전 1.6 사용하고 있다고 취약으로 잡힘Server: Apache Axis C++/1.6a  근데 Apache Axis C++ 하고 Apache HTTP Server 는 다른놈이다 Apache Axis C++ 는 SOAP 처리하는 웹 서비스 만드는 라이브러리 라고 함SOAP ..