Öffentliche Aufgaben und Richtlinien
Sicheres Programmieren in der Praxis
Informieren Sie sich über Richtlinien für sicheres Programmieren, um Software-Sicherheitslücken wie die OWASP Top 10 zu verstehen und zu beheben, und nehmen Sie an geführten Trainingsmissionen teil, um praktische App-Simulationen zu üben.
Durchsuche alle Missionen
목차
SQL 인젝션Spring MVC Matchers anfragenTrojaner-Quelle — Verwendung von Komponenten aus nicht vertrauenswürdigen QuellenPsychische Signaturen — Verwendung bekannter anfälliger KomponentenApache Path Traversal — Verwendung bekannter anfälliger KomponentenCodestashbin - Unsichere Passwort-Reset-FunktionLog4j - Verwendung bekannter anfälliger KomponentenSeitenübergreifendes Scripting (XSS) in 'ChatterGPT'더 보기
SQL 주입
한 사용자로부터 인터넷 은행 솔루션의 거래 검색 기능에서 SQL 인젝션 취약점을 악용할 수 있었다는 신고를 받았습니다. 이 사용자는 다른 사용자의 거래를 볼 수 있었다고 말하며, 이 취약점을 통해 공격자가 테이블 삭제, 다른 테이블의 데이터 보기, 데이터 삽입 등 데이터베이스에 온갖 종류의 끔찍한 일을 할 수 있다고 지적했습니다. 이 미션에서 사용자가 수행한 작업을 직접 복제해 보세요.
Spring MvcRequestMatchers
2023년 3월, Spring은 내부적으로 발견된 취약점(CVE-2023-20860)에 대한 수정 사항을 발표했는데, mvcRequestMatchers에서 이중 와일드카드**를 사용하면 Spring Security와 Spring MVC 간에 패턴 불일치가 발생할 수 있습니다. 이로 인해 궁극적으로 사용자가 특정 엔드포인트에 대한 무단 액세스를 얻을 수 있습니다. 몇 개의 엔드포인트로 매우 간단한 뱅킹 애플리케이션을 설정해 보았습니다. 지침에 따라 이 접근 제어 취약점의 영향을 재현해 보세요.
심령 서명 - 알려진 취약한 구성 요소 사용
CVE-2022-21449는 자바의 심령 서명이라는 가장 멋진 별칭을 가진 취약점입니다. 어떻게 그런 이름이 붙었을까요? 그것은 닥터 후의 초능력 종이에 대한 언급입니다. 누군가에게 이 빈 종이를 보여주면, 그 사람이 예상할 수 있는 내용으로 채워지게 됩니다. Java(버전 15부터 18까지)의 ECDSA 알고리즘 구현에서도 비슷한 일이 발생했으며, 이는 JWT의 서명 확인에 영향을 미칩니다. 유효하지 않은 서명을 제출할 수 있지만 Java는 이를 유효한 것으로 간주합니다. 어떻게 작동하는지 알고 싶으신가요? 시작해 보겠습니다.
Apache 경로 탐색 - 알려진 취약한 구성 요소 사용
2021년 10월 4일 아파치 팀은 아파치 2.4.48의 경로 탐색 및 원격 코드 실행 취약점(CVE-2021-41773으로도 알려진)을 해결하기 위해 아파치 2.4.49 버전을 출시했습니다. 2021년 10월 7일, 2.4.50 핫픽스의 수정이 완료되지 않아 2.4.51 버전을 출시했습니다. 이 취약점은 CVE-2021-42013으로 추적되었습니다. 이 미션을 통해 이 취약점이 어떻게 악용될 수 있는지 직접 확인해 보세요.
Log4j - 알려진 취약한 구성 요소 사용
2021년 12월 초, 매우 인기 있는 로깅 라이브러리 Log4j의 0일 익스플로잇(CVE-2021-44228)이 발표되면서 Java 커뮤니티에 폭탄이 떨어졌습니다. Log4Shell이라고 불리는 이 익스플로잇은 Log4j v2 버전 2.0-beta9부터 2.14.1까지 영향을 미치며 원격 코드 실행으로 이어질 수 있습니다. 이 익스플로잇이 어떤 영향을 미치는지 직접 확인할 수 있도록 모의 환경을 설정했습니다. 지금 바로 사용해 보세요.
트로이 목마 소스 - 신뢰할 수 없는 소스의 구성 요소 사용
바이킹 은행 개발자 중 한 명이 신용카드 관리를 위한 관리자 권한 확인을 작성하기 위해 인터넷의 신뢰할 수 없는 소스에서 취약한 구성 요소가 포함되어 있을 가능성이 있는 일부 코드를 순진하게 복사했습니다. 관리자만 이 권한을 가져야 함에도 불구하고 사용자들이 신용카드 한도를 변경하는 것을 발견했습니다. 해당 코드에 문제가 있는 것 같습니다. 코드를 조사하는 미션을 수행해 보세요.
코드스타시빈 - 안전하지 않은 비밀번호 재설정 기능
CodeStashBin은 세계 최대의 코드 버전 관리 호스팅 회사 중 하나입니다. 비밀번호 찾기 프로세스에 안전하지 않은 비밀번호 재설정 기능 취약점이 있다는 소문이 돌고 있습니다. 권한 있는 사용자의 비밀번호를 변경하여 계정에 액세스할 수 있을지도 모릅니다. 이 미션에 참여하여 문제를 조사해 보세요.
'ChatterGPT'의 크로스 사이트 스크립팅(XSS)
이 미션은 2023년 11월 말에 생성된 실제 코드 스니펫을 활용하여 인기 있는 LLM의 익숙한 인터페이스를 보여줍니다. 사용자는 이 코드 조각을 해석하고 의도된 목적에 맞게 사용될 경우 잠재적인 보안 함정을 조사할 수 있습니다.
감사합니다! 귀하의 제출물이 접수되었습니다!
이런! 양식 전송 중에 문제가 발생했습니다.