Redis DBMS 취약점과 공격기법

본 글은 드림핵 로드맵을 진행하면서 작성자가 이해하기 위해 정리하는 글이므로 틀린부분이 있을 수 있습니다. 틀린점은 댓글로 지적해주시면 감사드립니다. Redis 여러가지 NoSQL중에 하나인 Redis라는 DBMS는 데이터를 작성하고 조회하는 명령어가 다음과 같습니다. $ redis-cli 127.0.0.1:6379> SET test 1234 # SET key value OK 127.0.0.1:6379> GET test # GET key "1234" SET으로 새로운데이터 추가가 가능하고 GET으로 key를 통해 데이터의 조회가 가능한 구조입니다. 각 명령어들은 다음과 같습니다. 데이터 조작 명령어 GET GET key 데이터 조회 MGET MGET key [key ...] 여러 데이터를 조회 SET S..

Jinja SSTI

Jinja SSTI 관련 워게임을 접할 일이 생겨 문제를 해결하기 위해 작성한 글입니다. SSTI (Server-Side Template Injection) 먼저 SSTI란 Server-Side Template Injection 으로 템플릿을 사용한 웹 어플리케이션을 구동할 때 적절하게 사용자의 입력이 필터링되지 않고 템플릿 구문 삽입이 가능할 때 발생하는 공격입니다. 이전에 Python MRO를 정리한 글이 있습니다. https://skysquirrel.tistory.com/80?category=1045478 (Python) MRO - Method Resolution Order 본 글은 MOR이란 무엇인가 작성자가 학습하기 위해 자료를 검색해 정리한 글입니다. MRO이란? 파이썬은 기본적으로 상속을 지..

웹 브라우저 엔진과 브라우저 엔진의 렌더링 과정

보호되어 있는 글입니다.