Apache HTTP Server 2.4.49 / 2.4.50에서 발견된 취약점으로 경로 탐색 문자열에 대한 필터링 미흡으로 발생하는 취약점이다. 취약점 설명 상위 디렉토리를 의미하는 문자열 "../" 에 대한 필터링이 미흡해 발생한 취약점 Apache는 기본적으로 ../ 문자열을 차단 시키지만 URL 인코딩을 통해 우회가 가능하다. 2.4.49에서 해당 취약점을 조치했지만 URL 더블 인코딩으로 우회가 가능하다. ../ 차단 %2E%2E/ 허용(2.4.49 / CVE-2021-41773) .%%32%65/허용(2.4.50 / CVE-2021-42013) 2.4.51 버전에서 조치가 완료되었다. 위험성 위 문제로 인해 정확한 사례는 찾아볼 수 없지만 서버 내 중요파일 등을 획등할 수 있다 중요파일 예) ..

모바일 앱을 진행하던 중 Flutter로 개발된 앱이 HTTP 패킷이 캡처되지 않아 진단이 많이 지연되었다. Flutter로 개발된 모바일 앱에 HTTP 패킷을 캡처하기 위해 해결한 내용을 정리한다. Flutter Flutter는 google에서 개발한 프레임워크이며 18년 12월에 릴리즈되었으며 해외에서는 많은 사용자가 이용중이라고 한다. 국내에선 자료가 많이 없지만 단일코드로 WEB, Android, iOS를 개발할 수 있어 개발효율이 높다고 한다. Dart라는 개발 언어로 프로그래밍하며 이 역시 google에서 개발한 언어다. 앞으로 Flutter로 개발된 앱이 증가할 거 같고 Burp Suite 와 Charles 등 HTTP 패킷을 캡처하기 위해 정리한다. 추가로 개발자의 경우 디버깅을 목적으로 ..

AWS Console 대상 중 Acount Role로 권한을 부여하는 대상이 있어 관련 내용을 정리한다 Assume role 이란 IAM 역할로 번역되며 IAM 계정에 각자 부여할 수 있는 자격증명 Account 계정의 롤을 빌려 쓰는 개념 Roles 생성 추가 예정 Assume Role 역할 가져오기 계정 로그인 후 우측 상단 사용자 매뉴 클릭 후 역할 전환 클릭 역할 전환(Switch Role) 예시 계정 : 역할이 부여된 계정 ID 역할 : 계정에 생성한 역할명 표시 이름 : 사용자 프로필에 표시되는 이름(개인 취향) 색상 : 맘에드는 색 고르면된다 이 후 역할 전환하면 원하는 역할을 부여받아 서비스를 이용한다 아래 예시 참고