목록# 나 (287)
의미없는 블로그
FEP - 외부랑 중계하는 서버라고 보면 됨, 대외계 GW 라고 보면 됨 (Front End Processor)APIM - 내부든 외부든 API GW 라고 보면 됨 (API Management) 그래서 FEP 서버에서 통신하는 포트 종류 보면 대외 은행들이 많음APIM 서버에서 통신하는 포트는 통신사 모바일 서비스, AI OCR 이런것들 있음 (API로 통신하는 것들) FEP, APIM 이랑 동일 대역에 디리아에서 개발한 CruzAPIM 이라는 솔루션 있다APIM 서버 통해서 들어온 애들 CruzAPIM 에서 관리하나 봄
보호되어 있는 글입니다.
취약점VMware Operations for Logs 버전 정보현상8.12 → 8.16 으로 업데이트 했는데 계속 8.12 로 잡힘사유https://Vmware Operations for Logs 사이트 접속 시 응답 값에 아래 스크립트 있음https://Vmware Operations for Logs/i18n/component/JS 접속하면 버전 정보 8.12 로 되어있음"productName" : "logInsight", "version" : "8.12", "vipServer" : "localhost:8090"...근데 해당 페이지는 UI 코드에 반영된 버전 정보로 실제 버전과 다를 수 있다실제 버전은 내부 설정 페이지에서 Cluster Version 을 확인해야 한다 (증적 받음)Cluster 페이..
history.js 파일setDefaultURL: function(def) { defaultHash = def; def = getHash(); if (browser.ie) { window['_ie_firstload'] = true; var sourceToSet = historyFrameSourcePrefix + def; var func = function() { getHistoryFrame().src = sourceToSet; .... getHistoryFrame()이 가리키는 프레임의 src 속성에 sourceToSet 값을 넣고 있다sourceToSet 값이 악의적인 JavaScript 코드를 포함하고 있으면 XSS(DOM) 가능하다 근데 var sourceToSet = history..
http 로 요청하면 취약으로 잡는건데 login.js 파일에서 http.request 때문에 잡혔다http.request({ url: "pages/framework/data/LoginUser.json", before: (iMapper, oMapper, header) => { header.set({ "userId": this.LoginUser.getData(0, "userId"), "pswd": this.LoginUser.getData(0, "pswd") }); ... }); SAST 도구는 http.request()에서 URL이 명확하지 않을 경우, 기본적으로 HTTP를 사용한다고 판단할 수 있음아래처럼 명확하게 https 가 확인되면 안잡힐거임http.reque..
ICMP 타입 중에- Timestamp : 네트워크 시간 정보 교환하는 목적으로 사용- Echo Request / Reply : Ping 할 때 사용 여기서 Timestamp 쓰지 말라고 잡은건데왜 쓰지 말라 하냐? 머.. 시스템이 Timestamp 패킷 응답하면그걸 분석해서 시스템 OS(ex. Windows)를 식별할 수 있다.. Timestamp 응답을 통해 서버의 정확한 시간 정보를 수집해서이를 기반으로 TCP 시퀀스 예측 공격을 할 수 있다.. 딱히 중요한 문제는 아님그래서 중요도도 Low 임 Timestamp 비활성화 하는 방법은방화벽에서 ICMP Timestamp 를 막으면 됨Timestamp Request 가 Type 13번이라서 이것만 막으면 됨 Request 만 막아도 요청이 차단되어 R..
https://www.boannews.com/media/view.asp?idx=135380&kind=1 [긴급] 아파치 제품 3종에서 위험도 10점 만점 등 초고위험도 취약점 3개 발견아파치 소프트웨어 재단은 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트를 발표했다. 아파치 제품 3종에서 발견된 취약점은 위험도가 10점 만점에 달하는 초고위험도 취약점을 포함www.boannews.comhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-56337 CVE - CVE-2024-56337Time-of-check Time-of-use (TOCTOU) Race Condition vulnerability in Apache Tomcat. This issue af..
전자금융거래법제1조(목적) 이 법은 전자금융거래의 법률관계를 명확히 하여 전자금융거래의 안전성과 신뢰성을 확보함과 아울러 전자금융업의 건전한 발전을 위한 기반조성을 함으로써 국민의 금융편의를 꾀하고 국민경제의 발전에 이바지함을 목적으로 한다. 제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다. 3. “금융회사”란 다음 각 목의 어느 하나에 해당하는 기관이나 단체 또는 사업자를 말한다.가. 「금융위원회의 설치 등에 관한 법률」 제38조제1호부터 제5호까지, 제7호 및 제8호에 해당하는 기관나. 「여신전문금융업법」에 따른 여신전문금융회사다. 「우체국예금ㆍ보험에 관한 법률」에 따른 체신관서라. 「새마을금고법」에 따른 새마을금고 및 새마을금고중앙회마. 그 밖에 법률의 규정에 따라 금융업 및 금융 관련..