분류 전체보기 28

CVE-2026-39808: Fortinet FortiSandbox OS Command Injection 취약점 분석 및 Splunk SPL 탐지 쿼리

1. 취약점 설명Fortinet FortiSandbox의 특정 엔드포인트에서 jid 파라미터가 검증 없이 OS 명령어로 전달되어, 인증 없이 root 권한으로 임의 명령어를 실행할 수 있는 취약점. curl 명령어 하나로 익스플로잇이 가능하며 PoC가 공개된 이후 실제 공격이 관찰되고 있다.2. 취약점 개요 항목 내용 CVE 번호CVE-2026-39808CVSS9.8 (Critical)발표일2026년 4월 14일CWECWE-78 (OS Command Injection)영향 제품Fortinet FortiSandbox 4.4.0 ~ 4.4.8취약 조건인증 불필요, 네트워크 접근 가능하면 즉시 공격 가능발견자Samuel de Lucas Maroto (KPMG Spain)패치 버전4.4.9 또는 v5.0.0 ..

SQL 인젝션 실습 2편 - DVWA Low 레벨 공격

들어가며환경 구성이 끝났으니 본격적으로 SQL 인젝션 공격을 진행했다. Low 레벨은 입력값 검증이 전혀 없어서 가장 기본적인 공격 기법을 그대로 사용할 수 있다. 에러 확인부터 DB 전체 정보 추출까지 단계별로 진행해봤다.환경 구성 글: SQL 인젝션 실습 1편 - DVWA 환경 구성1. 정상 동작 확인SQL Injection 메뉴에서 User ID 입력창에 1 입력 후 Submit.결과:ID: 1First name: adminSurname: admin내부적으로 실행된 쿼리:SELECT * FROM users WHERE id = '1'정상적으로 DB에서 ID 1번 사용자를 조회해서 출력하는 것을 확인.2. SQL 에러 확인 (인젝션 가능 여부 판단)입력창에 1' (작은따옴표 추가) 입력 후 Submit..

SQL 인젝션 실습 1편 - DVWA 환경 구성 (Docker)

들어가며SQL 인젝션 개념 글에서 원리를 정리했는데, 직접 실습해보고 싶어서 DVWA를 Docker로 띄워봤다. 버퍼 오버플로우 실습 때처럼 Docker를 활용하면 내 PC에 영향 없이 취약한 환경을 만들 수 있다. 생각보다 환경 구성이 간단해서 금방 실습까지 들어갈 수 있었다.⚠️ 주의: DVWA는 의도적으로 취약하게 만들어진 실습용 애플리케이션이다. 반드시 로컬 환경에서만 사용하고 인터넷에 노출되는 서버에는 절대 올리지 말 것.SQL 인젝션 개념 글: CWE-89: SQL 인젝션 완전 정리1. DVWA란?Damn Vulnerable Web Application의 줄임말→ 의도적으로 취약하게 만들어진 웹 애플리케이션목적:→ SQL 인젝션, XSS, CSRF, Command 인젝션 등 다양한 웹 취약점..

[OWASP Top 10:2025 - A05] CWE-89: SQL 인젝션 완전 정리 - 원리부터 실무 탐지까지

들어가며SQL 인젝션은 OWASP Top 10에서 2013년부터 꾸준히 상위권을 차지하고 있는 웹 취약점이다. 2021년까지 3위(A03)였다가 2025년에 5위(A05)로 내려갔지만, 순위가 낮아진 게 덜 위험해진 게 아니라 다른 위협들이 더 많이 발견됐기 때문이다. "가장 오래됐고 가장 잘 알려진 취약점"이지만 여전히 실제 공격에서 가장 많이 발견된다. 그만큼 개발자 교육도 많이 됐는데 왜 아직도 이렇게 자주 터지는지, 원리부터 실무 탐지까지 정리해봤다.1. SQL 인젝션이란?사용자 입력값이 SQL 쿼리의 일부로 그대로 삽입되어, 공격자가 개발자가 의도하지 않은 쿼리를 실행시킬 수 있는 취약점이다.2. 취약점 개요 항목 내용 CWE 번호CWE-89 (Improper Neutralization of ..

CVE-2026-2441: Google Chrome CSS Use-After-Free 취약점 분석 및 Splunk SPL 탐지 쿼리

1. 취약점 설명Google Chrome의 CSS 렌더링 엔진에서 발견된 Use-After-Free 취약점. 악성 웹페이지를 방문하는 것만으로 Chrome 샌드박스 안에서 임의 코드가 실행된다. Chrome뿐 아니라 Chromium 기반 브라우저(Edge, Brave, Opera 등) 전체에 영향을 미치며, 패치 전부터 실제 공격에 악용된 제로데이다.2. 취약점 개요 항목 내용 CVE 번호CVE-2026-2441CVSS8.8 (High)발표일2026년 2월 13일CWECWE-416 (Use After Free)영향 제품Google Chrome 145.0.7632.75 미만, Chromium 기반 브라우저 전체취약 조건사용자가 악성 웹페이지를 방문 (추가 상호작용 불필요)보고자Shaheen Fazim (..

CVE-2026-21513: MSHTML Framework 보안 기능 우회 취약점 분석 및 Splunk SPL 탐지 쿼리

1. 취약점 설명Windows에 여전히 남아있는 레거시 IE 엔진(MSHTML)의 URL 검증 미흡으로, 악성 LNK 파일 하나로 브라우저 샌드박스를 탈출해 임의 코드를 실행할 수 있는 취약점. 러시아 국가 연계 해킹 그룹 APT28이 2026년 2월 Microsoft Patch Tuesday 패치 전부터 실제 공격에 활용했으며, CISA KEV에 등재됐다.2. 취약점 개요항목내용CVE 번호CVE-2026-21513CVSS8.8 (High)발표일2026년 2월 10일 (February Patch Tuesday)CWECWE-693 (Protection Mechanism Failure)영향 제품모든 Windows 버전 (MSHTML 내장)취약 조건사용자가 악성 HTML 파일 또는 LNK 파일을 열었을 때공격..

CVE-2026-53359 (Januscape): Linux KVM Use-After-Free 취약점 분석 및 Splunk SPL 탐지 쿼리

1. 취약점 설명Linux KVM 하이퍼바이저의 shadow MMU 코드에 2010년부터 16년간 숨어있던 Use-After-Free 취약점. 게스트 VM 안에서 호스트 커널 메모리를 손상시켜 호스트 전체를 장악할 수 있다. Intel과 AMD x86 모두 영향을 받으며, 공개된 PoC만으로도 호스트 커널 패닉(DoS)이 발생한다. 완전한 게스트-호스트 탈출 익스플로잇은 미공개 상태지만 연구자가 보유 중이라고 밝혔다.2. 취약점 개요항목내용CVE 번호CVE-2026-53359별칭JanuscapeCVSS미할당 (Critical 수준으로 평가)CWECWE-416 (Use After Free)발표일2026년 7월 6일영향 제품Linux Kernel KVM (x86, Intel/AMD)취약 버전커밋 2032a9..

취약점 분석 2026.07.09

버퍼 오버플로우 실습 2편 - 32비트/64비트 익스플로잇 과정

1. 들어가며환경 구성이 끝났으니 이제 본격적으로 실습을 진행했다. 처음엔 단순히 오버플로우만 발생시키면 되는 줄 알았는데 null byte 문제, 스택 정렬 문제 등 생각보다 막히는 부분이 많았다. 32비트는 비교적 수월했는데 64비트로 넘어가면서 ROP 가젯이라는 개념까지 등장했다. 삽질한 과정도 그대로 담았으니 같은 오류를 만난다면 참고가 됐으면 한다.환경 구성 글: 버퍼 오버플로우 실습 1편 - 환경 구성 2. 컨테이너 접속 및 ASLR 비활성화1편에서 만든 컨테이너를 다시 시작하고 접속한다.docker start bof_practicedocker exec -it bof_practice /bin/bash접속 후 ASLR이 꺼져 있는지 먼저 확인한다. 컨테이너를 재시작하면 ASLR이 다시 켜지는 경..

버퍼 오버플로우 실습 환경 구성 - Docker 설치부터 컨테이너 생성까지

1. 들어가며버퍼 오버플로우를 직접 실습해보고 싶었는데, 내 PC에 바로 설치하기엔 부담스러워서 Docker 컨테이너를 활용했다. 실습 환경 특성상 보호 기법을 비활성화해야 하는데, 컨테이너 안에서 하면 내 PC에 영향이 없어서 마음 편하게 진행할 수 있었다. Docker 설치부터 컨테이너 생성까지 막히는 부분이 꽤 있었는데 그 과정을 그대로 정리해봤다.2. Docker가 뭔지Docker = 컨테이너 기반 가상화 도구컨테이너 = 내 PC 안에 독립된 가상 환경 → 내 PC에 영향 없이 실습 가능 → 망가지면 그냥 삭제하고 새로 만들면 됨3. 사전 확인 - 가상화 활성화 여부Docker 설치 전에 가상화가 활성화되어 있는지 확인해야 한다.확인 방법:작업관리자 열기 (Ct..

CWE-121/122: 버퍼 오버플로우(Buffer Overflow) 완전 정리 - 개념부터 실무 탐지까지

1. 이 글에서 다루는 것보안 뉴스나 CVE 분석 글을 읽다 보면 "버퍼 오버플로우(Buffer Overflow)" 라는 단어가 자주 등장한다. 실제로 CVSS 9.0 이상의 치명적 취약점 중 상당수가 이 유형에 해당한다. 이 글에서는 버퍼 오버플로우가 무엇인지, 왜 위험한지, 그리고 실무에서 어떻게 탐지할 수 있는지를 정리한다.2. 버퍼 오버플로우란?버퍼(Buffer)가 뭔지부터버퍼란 프로그램이 데이터를 임시로 저장해두는 메모리 공간이다. 프로그램은 데이터를 처리하기 전에 일단 버퍼에 담아두고, 처리가 끝나면 비운다.예시: DNS 응답을 받을 때외부에서 DNS 응답 도착 ↓버퍼에 임시 저장 (크기: 512바이트로 미리 지정) ↓프로그램이 버퍼에서 데이터를 꺼내 처리 오버플로우(..