정보보호 한잔

안녕하세요.오늘은 버그바운티에 대한 소개를 할까 하는데요.여러 군데에서의 자료를 취합하여 정리한 자료로 다소 지저분하거나 보충 설명이 필요한 부분이 있을 수 있습니다. 확인해 보시고 많은 조언 부탁드리겟습니다. 1. 버그바운티(Bug Bounty) 소개버그바운티란 Bug(버그, 에러, 취약점) + Bounty(현상금)의 합성어로 웹 서비스나 소프트웨어의 취약점을 찾아주는 화이트 해커들에 대해 보상을 하는 제도입니다.버그바운티를 하는 화이트 해커를 Bug Hunter 라고 부르고 있으며 그중에서도 전업으로 버그바운티를 하는 능력있는 화이트 해커를 Super Hunter라고 부르기도 합니다.버그바운티는 넷스케이스 사의 직원의 건의로 1996년 처음 시행이 됬으며 당시 모자이크/ 넷스케이프/ 모질라 브라우져 ..

JSON Injection JSON(JavaScript Object Notation,제이슨) 속성-값 쌍으로 이루어진 데이터 오브젝트를 전달하기 위해 인간이 읽을 수 있는 텍스트를 사용하는 개방형 표준 포맷이다. JavaScript의 구문 형식을 따르지만, 프로그래밍 언어나 플랫폼에 독립적으로 C, C++, 자바, JavaScript, 펄, 파이썬 등 많은 언어에서 이용할 수 있다. 주로 다음과 같은 상황에서 공격이 발생 될 수 있다. 1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다. 2. JSON 스트림에 데이터가 작성됩니다. JSON 문서와 메시지의 의미는 응용 프로그램이 확인되지 않은 입력에서 JSON을 구성하는 경우 변경될 수 있다. 상대적으로 양호한 경우 공격자는 JSON 문서 또는..