728x90 빚진 자처럼, 한결같이1583 파일업로드 취약점 1. 웹쉘 체크하는 로직 1) 확장자 체크 업로드 되는 파일의 확장자 체크는 기본 중의 기본. 모든 확장자를 제한하고 허용하는 일부 확장자만 업로드 되도록 제한 2) mime-type 체크 이미지 파일일 경우는 image/pjpeg, image/gif 이겠지만 웹쉘같은 텍스트 형식일 경우는 txt/html 형식 물론 mime-type 은 간단한 조작(proxy tool을 사용)에 의해 우회 가능 3) 특수문자(;,%00,%zz) 체크 파일명에 특수문자가 있는지 체크 2. 우회기법1) %00, %zz 는 종단문자로서 파일 서버가 리눅스 시스템일 경우 우회 기법으로 사용 예를들어 파일명을 shell.jsp%00.gif 로 업로드 하면 확장자 체크는 우회할 수 있고 서버에 저장되어 호출될때 시스템이 %00, .. 2015. 10. 19. 기술사에 대한 목표의식이 흔들릴 때 읽을 수 있는 글 http://blog.skcc.com/126 기술사가 되려면 4교시 동안 56 page의 백지에 자신의 지식과 경험, 주장을 써내려 가야 한다.4교시 전체 총점을 함해서 평균 60점 이상이면 합격이 되는 절대평가 1교시 13문제, 각 10점2,3,4 교시 6문제, 각 25점 쉽지 않은 도전이기 때문에 도전 목적이 명확해야 자격취득이 가능하다.기술사가 되서 어떤 Carrier Path를 가질 것인지 비젼이 있어야 한다. 학습방법 : 1. 학습주제 선정 최근 3~5년간 정보관리 기출문제, 전자계산조직응용 기출문제를 정리하여 주제를 선정각 문제의 출제 횟수 혹은 문제 배점을 기록해서 합산 후 제일 높은 주제부터 학습 학습주제는 각종 IT 관련 Journal에 신기술 혹은 특집 기사들은 통해 계속 추가 2. 자.. 2015. 10. 19. [펌] 기술사와 감리사 차이 기술사는 주관식이고, 직접 글을 씁니다. IT 최고 레벨 시험인데, 글씨를 빠르고 예쁘게(보기좋게) 쓰는 재능이 있으면 아주 유리합니다. 넓게 아는게 중요하고, 대략적이나마 많은 Topic을 아는게 중요하죠. 1문제당 점수가 1점 아니면 0점이 아니라 0~10(1교시) or 0~25점 이라서 모르는 문제는 손을 못대지만, 오히려 주관식이므로 대략적이라도 아는 문제면 어느 정도 점수는 받을 수 있죠. 그리고 절대평가입니다. 60점이 커트라인입니다. 1년에 3번 시험이구요. 감리사는 객관식입니다. 시험문제를 빨리 푸는 능력이 중요합니다. 1문제당 마킹시간까지 1분인데, 문제 읽는데만도 1분 넘게 걸리는 문제도 있습니다. 기술사보다는 Topic의 수는 줄어드는데 정확하게 아는게 중요합니다. 그리고 상대평가입니.. 2015. 10. 18. 기술사 합격수기 II. 학습방법 1) 멘토를 믿어라 : 멘토기술사님을 신뢰하고 믿어야 합니다. 수개월간 나를 합격시키기 위해 지켜본 프로패셔널 이므로, 본인의 치부를 가능한한 거리낌 없이 드러내고, 그에 따른 멘토링과 전략을 제시받아야 합니다. 2) 강점으로 일하라 : 공격할 수 있는 강점 분야가 있거나, 없다면 발굴해야 합니다. 사람은 개인마다 잘하는 분야가 있게 마련입니다. 누구는 도식화를 누구는 암기를, 혹은 편하게 생각하는 과목이 존재하기도합니다. 적어도 강점분야에서 문제가 나오면 놓치지 않겠다는 각오가 있어야 합니다. 3) 마음을 관리하라 : 서술형의 경우 어려운 문제가 한 교시에 여러문제 존재하게 되면, 스스로를 포기하고 싶거나 대강 작성하고 빠져나오고 싶어집니다. 빨리 집에 가고 싶죠.. 그러면, 아주 어려.. 2015. 10. 16. [기출문제 풀이] 105회 105회 기출문제 풀이 : http://caleb94.tistory.com/entry/정보처리기술사-105회-기출풀이정보관리-컴퓨터시스템응용-컴퓨터시스템응용 2015. 10. 16. 이전 1 ··· 292 293 294 295 296 297 298 ··· 317 다음 반응형