SQLInjection

Prepared Statement의 한계와 WHERE절 외 동적 요소(테이블명·컬럼명·ORDER BY)의 취약점, CASE WHEN 구문과 Zero Division을 이용한 Blind SQLi, OOB 공격, Session Hijacking·Fixation·Replay 방어 기법 정리

4주 보안 컨설팅 시뮬레이션 2주차 — OWASP ZAP 자동화 스캔 + Python 수동 진단으로 Critical 2 / High 2 / Medium 3 / Low 5 총 12개 취약점을 발굴하고 종합 보고서를 작성

4주 보안 컨설팅 시뮬레이션의 첫 번째 주 — 의도적 취약점을 내포한 E-Commerce Flask 앱을 직접 구축하여 진단 대상 시스템을 준비한 개인 솔로 프로젝트

Blind SQL Injection TRUE/FALSE 응답 차이로 Python 자동화 스크립트 플래그 추출, 파일 다운로드 경로 조작(../) 통한 conf1g.cgi DB 패스워드 획득, Vim Swap File(.swp) read_me 힌트 기반 소스코드 복원, Guessing II·Proxy CTF 추가 풀이

Python 웹 취약점 스캐너 12개에서 15개로 확장 완료(OS Command Injection/SSRF/HTTP Method 추가), WebCrawler + DynamicScanner 연동, 오프라인 통합 테스트에서 8개 이슈 발견/해결, TXT/HTML/PDF 3종 리포트 자동 생성 시스템 구현

Week 08에서 공격자 시점을 체험했다면, Week 09는 그 반대편 — 취약점을 자동으로 탐지하는 Python 보안 스캐너를 직접 설계하고 구현한 프로젝트

Python 기반 12개 웹 취약점 자동 진단 스크립트 개발, XSS 탐지 실패/백신 오탐 트러블슈팅, 인트라넷에서 DNA 검사 서비스(23andMe 690만명 유출 연계)로 프로젝트 주제 전환, 기존 페이지 구조 재활용 전략 수립

의도적으로 취약한 Flask 웹 애플리케이션을 직접 구현하고, SQL Injection과 XSS 공격을 실습하여 방어 기법까지 체득한 프로젝트