본문 바로가기
[도서 정리] 50. OS 커맨드 인젝션 - 보안의 기본 50. OS 커맨드 인젝션 - 보안의 기본 * OS 커맨드 인젝션이란? -OS 커맨드 인젝션은 SQL 인젝션과 마찬가지로 인젝션 공격의 일종이다.인젝션 공격은 앱에 대한 데이터 입력을 악용하여 앱이 호출하는 외부 시스템을 의도하지 않은 형태로 조작하는 공격이다.SQL 인젝션의 경우 공격 대상이 DB 였지만, OS 커맨드 인젝션의 경우는 공격대상이 OS 쉘이 된다. -쉘은 OS의 커맨드를 실행하는 환경이다.쉘을 부정으로 조작할 수 있다는 것은 OS 가 실행할 수 있는 다양한 일, 예를 들면 파일의 참조, 편집, 삭제, 임의의 프로그램 실행 등이 공격자에 의해 가능해 진다는 것이다. * OS 커맨드 인젝션의 실행 방법과 대책 -OS 커맨드 인젝션은 OS 의 쉘을 호출할 수 있는 프로그래밍 언어(Perl 이나.. 2019. 11. 29.
[android 보안] 안드로이드 보안 모델 #1 [android 보안] 안드로이드 보안 모델 출처 : Android Security Internals 1장개요 목차 1. 안드로이드 보안 모델 1.1. 안드로이드의 아키텍처 1.1.1. 리눅스 커널 1.1.2. 네이티브 사용자 공간 1.1.3. 달빅 가상 머신 1.1.4. 자바 런타임 라이브러리 1.1.5. 시스템 서비스 1.1.6. 프로세스 간 통신 1.1.7. 바인더 1.1.8. 안드로이드 프레임워크 라이브러리 1.1.9. 앱 1.2. 안드로이드 보안 모델 1.2.1. 앱 샌드박스 1.2.2. 권한 1.2.3. IPC 1.2.4. 코드 서명과 플랫폼 키 1.2.5. 다중 사용자 지원 1.2.6. SELinux 1.2.7. 시스템 업데이트 1.2.8. 검증된 부트 1.3. 요약 1.1. 안드로이드의 아.. 2018. 4. 14.
Efficient Android Threading #2 스레드 통신 Efficient Android Threading #2 스레드 통신 이 글은 Efficient Android Threading 의 일부 내용만 발췌한 내용입니다.자세한 내용은 책을 구입해서 보세용. 4.1. 파이프 -파이프는 두 개의 연결된 스레드끼리만 접근할 수 있는 메모리에 할당된 버퍼다.두 개의 스레드 이외의 다른 스레드는 데이터에 접근할 수 없다.따라서 스레드 안전이 보장된다.파이프는 단방향이기 때문에 한 스레드는 쓰기만 하고 다른 하나는 읽기만 한다. 일반적으로 파이프는 두 개의 긴 실행 테스크가 있고 하나의 테스크에서 다른 테스크로 계속해서 데이터를 옮길 때 사용된다. -파이프는 바이너리 데이터와 문자 데이터 중 하나를 전송할 수 있다.PipedOutputStream(생산자)와 PipedInp.. 2018. 3. 18.
[샌프란시스코] 차이나타운에서 맛본 마라샹궈!! [샌프란시스코] 차이나타운에서 맛본 마라샹궈!! 열심히 투어를 하고 났더니 배고팠다. 차이나 타운으로 갔다. 시간이 시간인지라 많은 가게들이 이미 문을 닫았다.그래도 술을 함께 파는 가게들은 아직 닫지 않았다. 가이드북에 나온 맛집들 소개를 읽어보았지만 딱히 땡기는 녀석이 없다.혹은 땡기지만 혼자 먹기에는 너무 비싸거나, 양이 많거나.. 그래서 이쪽저쪽 기웃거리며 뭐 먹을까 고민하다가 찾은 것이 바로.바로.. 매운음식을 파는 곳!!!사천음식을 파는 집이라고 되어 있고, 중국어로는 "마라XX" 이라고 되어 있는데 뒤의 한자는 모르겠고..여튼 "마라" 가 들어갔으니 이미 맘에 든다. 들어간다 ㅋㅋ 메뉴들이 다 시뻘겋다.반갑다!!!그런데 왠지 미국에서는 별로 안 맵게 해줄것만 같아 무섭다...매울까 무서운게 .. 2017. 6. 16.
반응형