Information of IT

5. Command Injection01. 개요Command Injection- 취약한 애플리케이션을 통해 호스트 운영 체제에서 임의 명령을 실행-> 양식, 쿠키, HTTP 헤더 등의 인자를 조작하여 시스템 쉘에 전달- 실행되었을 때 명령은 애플리케이션 권한으로 동작- 불충분한 입력 유효성 검사가 원인02. 취약점 발생 원리Faas 환경에서 사용자 관리 범위와 서비스 제공자 관리 범위의 차이 존대- FaaS 환경에서 사용자는 호스트 운영 체제에 관여할 수 없음-> AWS에서 가상 환경을 구성하며 Amazon Linux, Amazon Liunx 2 사용- 사용자가 지정한 런타임 가상환경에서 임의 명령을 실행-> Node, Python, Ruby, Java, Go 등 런타임 가상환경 사용 가능- 실행되었을 ..

4. NoSQL Injection 01. 개요 NoSQL 개요 - 유연한 수평확장(Scale-Out) - 빠른 레이턴시 - 유연한 스키마 - 조인(join)이 불가하여 복잡한 로직 수행 시 성능 감소 DynamDB 개요 - AWS 클라우드 기반 NoSQL 솔루션 - INSERT, UPDATES, DELETES, QUERY 및 SCAN 작업 포함 CRUD 지원 - 데이터 검색을 위해 쿼리 및 스캔 사용 - 스캔 함수는 전체 테이블 스캔 후 ScanFilters를 기반으로 결과 리턴  02. 시나리오 DynamoDB 구성 -> 테이블 -> 기본키(Partition Key) - 무결성 보장 -> 데이터 타입 - S(String), N(Number), B(Binary), SET, Bool, Null, L(Lis..

3. SQL Injection01. 개요SQL Injection - 임의의 SQL 구문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 유도 - OWASP TOP10 중 첫 번째 공격, 위험도가 높음SQL Injection 공격 목적 및 영향 - 인증 우회 - DB 데이터 조작 및 유출 - 시스템 명령 실행SQL Injecion 종류 - Error Based SQL Injection - Blind SQL Injection - Union SQL Injection 02. AWS 데이터베이스 서비스AWS에서 제공하는 데이터베이스 서비스 종류RDS(Relational Database Service) - 관계형 데이터베이스를 설정, 운영 확장 - 6개의 데이터베이스 엔진 중에서 선택 가능 - 기존..