경로 탐색 취약점이 최근 아파치 문제의 원인으로 작용한 영향을 경험해 보십시오.
10월 초에 아파치는 문제를 해결하기 위해 버전 2.4.49를 출시했습니다. 경로 탐색 및 원격 코드 실행 취약성 그런 다음 2.4.50을 사용하여 2.4.49의 수정이 불완전하다는 사실을 해결했습니다.소셜 미디어에서 이러한 위험을 피하려면 최신 버전으로 업데이트하는 것이 중요하다는 이야기를 본 적이 있을 것입니다. 일부 추정에 따르면 Apache는 인터넷의 25% 를 지원합니다..하지만 무슨 일이야?여기에는 얼마나 많은 위험이 존재할까요?
직접 체험해 보지 않겠습니까?
우리는 실제 환경에서 위험을 입증한다는 사명을 세웠고 모든 사람이 시도할 수 있도록 공개했습니다.이번 미션에서는 Path Traversal 취약점이 인프라와 애플리케이션에 어떤 영향을 미칠 수 있는지 안내해 드리겠습니다.아래를 클릭하여 바로 시작하거나, 계속 읽으면서 취약점에 대해 자세히 알아보세요.
경로 탐색 취약성에 대한 정보
이 취약점은 2.4.49 릴리스에서 도입되었습니다 (URL 정규화 기능 변경으로 인해) 에서 새로운 경로 정규화 기능이 도입되었습니다.안타깝게도 URL 인코딩 경로를 제대로 정규화하지 못했습니다.이를 통해 다음을 수행할 수 있습니다. 경로 트래버설 공격 다음 구성이 없는 경우
.avif)
그리고 만약 mod_cgi 활성화되면 원격 코드 실행 취약점에 악용될 수도 있습니다.하지만 무엇이 잘못되었는지 더 잘 이해하기 위해 먼저 URL 인코딩을 자세히 살펴보겠습니다.
URL 인코딩
기본적으로 이 취약점은 URL 인코딩을 사용하는 URL에 대한 고려가 부족하기 때문에 발생합니다.새로 도입된 경로 정규화 기능은 점이 URL로 인코딩되는 경우를 완전히 처리하지 못했습니다.
경로 순회 공격을 수행하려면 시퀀스를 따라 트래버스해야 한다는 점을 기억하십시오. ../.하지만 정규화 함수는 이 부분을 제거할 수 있을 만큼 똑똑합니다.그럼 어떻게 하시나요?URL을 인코딩할 수 있습니다. .(도트) 아래로 %2e, 다음과 같은 시퀀스를 사용하십시오. .% 2e/.이는 대부분의 경우 아파치 2.4.40에서 작동할 것입니다.하지만 한 단계 더 나아가 이중 인코딩할 수도 있습니다.의 URL 인코딩 버전입니다. .% 2e/ 입니다 .% 252e/.이를 통해 아파치가 시도한 정규화를 더 우회할 수 있었다.
하지만 한 가지 문제가 있습니다
누군가가 브라우저에서 바로 이 취약점을 악용하려 한다면 성공하지 못할 것입니다.이는 브라우저가 서버로 전송되는 URL도 정규화하려고 하기 때문입니다.즉, 이중 인코딩된 시퀀스도 삭제됩니다.이는 또한 단순히 브라우저를 사용하여 이를 증명할 수 없다는 의미이기도 합니다.
cURL은 다음을 사용하여 이를 증명할 수 있습니다. --있는 그대로의 경로 URL을 보내기 전에 URL을 정규화하지 못하도록 하는 플래그:
.avif)
예방 및 완화
문제를 완전히 방지하려면 Apache의 최신 패치를 최신 상태로 유지하는 것이 중요합니다.특히 최소한 2.4.51로 업그레이드하는 것이 좋습니다.하지만 정기적으로 업그레이드하여 최신 상태를 유지하는 것이 좋습니다.
2.4.49를 실행하는 경우 이 문제를 완화하려면 Apache 구성에 다음을 포함했는지 확인하십시오.
.avif)
그리고 원격 코드 실행을 방지하려면 비활성화 mod_cgi 사용하지 않는 경우.
그 영향을 직접 경험해 보세요
정확히 무슨 일이 있었는지 알아보고 직접 시험해 보고 싶으신가요?
10월 초에 Apache는 경로 탐색 및 원격 코드 실행 취약점을 수정하기 위해 버전 2.4.49를 출시했으며, 수정이 불완전하다는 사실을 해결하기 위해 2.4.50을 출시했습니다.우리는 실제 환경에서 위험을 입증하겠다는 사명을 세웠습니다.지금 사용해 보세요.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
10월 초에 아파치는 문제를 해결하기 위해 버전 2.4.49를 출시했습니다. 경로 탐색 및 원격 코드 실행 취약성 그런 다음 2.4.50을 사용하여 2.4.49의 수정이 불완전하다는 사실을 해결했습니다.소셜 미디어에서 이러한 위험을 피하려면 최신 버전으로 업데이트하는 것이 중요하다는 이야기를 본 적이 있을 것입니다. 일부 추정에 따르면 Apache는 인터넷의 25% 를 지원합니다..하지만 무슨 일이야?여기에는 얼마나 많은 위험이 존재할까요?
직접 체험해 보지 않겠습니까?
우리는 실제 환경에서 위험을 입증한다는 사명을 세웠고 모든 사람이 시도할 수 있도록 공개했습니다.이번 미션에서는 Path Traversal 취약점이 인프라와 애플리케이션에 어떤 영향을 미칠 수 있는지 안내해 드리겠습니다.아래를 클릭하여 바로 시작하거나, 계속 읽으면서 취약점에 대해 자세히 알아보세요.
경로 탐색 취약성에 대한 정보
이 취약점은 2.4.49 릴리스에서 도입되었습니다 (URL 정규화 기능 변경으로 인해) 에서 새로운 경로 정규화 기능이 도입되었습니다.안타깝게도 URL 인코딩 경로를 제대로 정규화하지 못했습니다.이를 통해 다음을 수행할 수 있습니다. 경로 트래버설 공격 다음 구성이 없는 경우
그리고 만약 mod_cgi 활성화되면 원격 코드 실행 취약점에 악용될 수도 있습니다.하지만 무엇이 잘못되었는지 더 잘 이해하기 위해 먼저 URL 인코딩을 자세히 살펴보겠습니다.
URL 인코딩
기본적으로 이 취약점은 URL 인코딩을 사용하는 URL에 대한 고려가 부족하기 때문에 발생합니다.새로 도입된 경로 정규화 기능은 점이 URL로 인코딩되는 경우를 완전히 처리하지 못했습니다.
경로 순회 공격을 수행하려면 시퀀스를 따라 트래버스해야 한다는 점을 기억하십시오. ../.하지만 정규화 함수는 이 부분을 제거할 수 있을 만큼 똑똑합니다.그럼 어떻게 하시나요?URL을 인코딩할 수 있습니다. .(도트) 아래로 %2e, 다음과 같은 시퀀스를 사용하십시오. .% 2e/.이는 대부분의 경우 아파치 2.4.40에서 작동할 것입니다.하지만 한 단계 더 나아가 이중 인코딩할 수도 있습니다.의 URL 인코딩 버전입니다. .% 2e/ 입니다 .% 252e/.이를 통해 아파치가 시도한 정규화를 더 우회할 수 있었다.
하지만 한 가지 문제가 있습니다
누군가가 브라우저에서 바로 이 취약점을 악용하려 한다면 성공하지 못할 것입니다.이는 브라우저가 서버로 전송되는 URL도 정규화하려고 하기 때문입니다.즉, 이중 인코딩된 시퀀스도 삭제됩니다.이는 또한 단순히 브라우저를 사용하여 이를 증명할 수 없다는 의미이기도 합니다.
cURL은 다음을 사용하여 이를 증명할 수 있습니다. --있는 그대로의 경로 URL을 보내기 전에 URL을 정규화하지 못하도록 하는 플래그:
예방 및 완화
문제를 완전히 방지하려면 Apache의 최신 패치를 최신 상태로 유지하는 것이 중요합니다.특히 최소한 2.4.51로 업그레이드하는 것이 좋습니다.하지만 정기적으로 업그레이드하여 최신 상태를 유지하는 것이 좋습니다.
2.4.49를 실행하는 경우 이 문제를 완화하려면 Apache 구성에 다음을 포함했는지 확인하십시오.
그리고 원격 코드 실행을 방지하려면 비활성화 mod_cgi 사용하지 않는 경우.
그 영향을 직접 경험해 보세요
정확히 무슨 일이 있었는지 알아보고 직접 시험해 보고 싶으신가요?
10월 초에 아파치는 문제를 해결하기 위해 버전 2.4.49를 출시했습니다. 경로 탐색 및 원격 코드 실행 취약성 그런 다음 2.4.50을 사용하여 2.4.49의 수정이 불완전하다는 사실을 해결했습니다.소셜 미디어에서 이러한 위험을 피하려면 최신 버전으로 업데이트하는 것이 중요하다는 이야기를 본 적이 있을 것입니다. 일부 추정에 따르면 Apache는 인터넷의 25% 를 지원합니다..하지만 무슨 일이야?여기에는 얼마나 많은 위험이 존재할까요?
직접 체험해 보지 않겠습니까?
우리는 실제 환경에서 위험을 입증한다는 사명을 세웠고 모든 사람이 시도할 수 있도록 공개했습니다.이번 미션에서는 Path Traversal 취약점이 인프라와 애플리케이션에 어떤 영향을 미칠 수 있는지 안내해 드리겠습니다.아래를 클릭하여 바로 시작하거나, 계속 읽으면서 취약점에 대해 자세히 알아보세요.
경로 탐색 취약성에 대한 정보
이 취약점은 2.4.49 릴리스에서 도입되었습니다 (URL 정규화 기능 변경으로 인해) 에서 새로운 경로 정규화 기능이 도입되었습니다.안타깝게도 URL 인코딩 경로를 제대로 정규화하지 못했습니다.이를 통해 다음을 수행할 수 있습니다. 경로 트래버설 공격 다음 구성이 없는 경우
그리고 만약 mod_cgi 활성화되면 원격 코드 실행 취약점에 악용될 수도 있습니다.하지만 무엇이 잘못되었는지 더 잘 이해하기 위해 먼저 URL 인코딩을 자세히 살펴보겠습니다.
URL 인코딩
기본적으로 이 취약점은 URL 인코딩을 사용하는 URL에 대한 고려가 부족하기 때문에 발생합니다.새로 도입된 경로 정규화 기능은 점이 URL로 인코딩되는 경우를 완전히 처리하지 못했습니다.
경로 순회 공격을 수행하려면 시퀀스를 따라 트래버스해야 한다는 점을 기억하십시오. ../.하지만 정규화 함수는 이 부분을 제거할 수 있을 만큼 똑똑합니다.그럼 어떻게 하시나요?URL을 인코딩할 수 있습니다. .(도트) 아래로 %2e, 다음과 같은 시퀀스를 사용하십시오. .% 2e/.이는 대부분의 경우 아파치 2.4.40에서 작동할 것입니다.하지만 한 단계 더 나아가 이중 인코딩할 수도 있습니다.의 URL 인코딩 버전입니다. .% 2e/ 입니다 .% 252e/.이를 통해 아파치가 시도한 정규화를 더 우회할 수 있었다.
하지만 한 가지 문제가 있습니다
누군가가 브라우저에서 바로 이 취약점을 악용하려 한다면 성공하지 못할 것입니다.이는 브라우저가 서버로 전송되는 URL도 정규화하려고 하기 때문입니다.즉, 이중 인코딩된 시퀀스도 삭제됩니다.이는 또한 단순히 브라우저를 사용하여 이를 증명할 수 없다는 의미이기도 합니다.
cURL은 다음을 사용하여 이를 증명할 수 있습니다. --있는 그대로의 경로 URL을 보내기 전에 URL을 정규화하지 못하도록 하는 플래그:
예방 및 완화
문제를 완전히 방지하려면 Apache의 최신 패치를 최신 상태로 유지하는 것이 중요합니다.특히 최소한 2.4.51로 업그레이드하는 것이 좋습니다.하지만 정기적으로 업그레이드하여 최신 상태를 유지하는 것이 좋습니다.
2.4.49를 실행하는 경우 이 문제를 완화하려면 Apache 구성에 다음을 포함했는지 확인하십시오.
그리고 원격 코드 실행을 방지하려면 비활성화 mod_cgi 사용하지 않는 경우.
그 영향을 직접 경험해 보세요
정확히 무슨 일이 있었는지 알아보고 직접 시험해 보고 싶으신가요?
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
10월 초에 아파치는 문제를 해결하기 위해 버전 2.4.49를 출시했습니다. 경로 탐색 및 원격 코드 실행 취약성 그런 다음 2.4.50을 사용하여 2.4.49의 수정이 불완전하다는 사실을 해결했습니다.소셜 미디어에서 이러한 위험을 피하려면 최신 버전으로 업데이트하는 것이 중요하다는 이야기를 본 적이 있을 것입니다. 일부 추정에 따르면 Apache는 인터넷의 25% 를 지원합니다..하지만 무슨 일이야?여기에는 얼마나 많은 위험이 존재할까요?
직접 체험해 보지 않겠습니까?
우리는 실제 환경에서 위험을 입증한다는 사명을 세웠고 모든 사람이 시도할 수 있도록 공개했습니다.이번 미션에서는 Path Traversal 취약점이 인프라와 애플리케이션에 어떤 영향을 미칠 수 있는지 안내해 드리겠습니다.아래를 클릭하여 바로 시작하거나, 계속 읽으면서 취약점에 대해 자세히 알아보세요.
경로 탐색 취약성에 대한 정보
이 취약점은 2.4.49 릴리스에서 도입되었습니다 (URL 정규화 기능 변경으로 인해) 에서 새로운 경로 정규화 기능이 도입되었습니다.안타깝게도 URL 인코딩 경로를 제대로 정규화하지 못했습니다.이를 통해 다음을 수행할 수 있습니다. 경로 트래버설 공격 다음 구성이 없는 경우
그리고 만약 mod_cgi 활성화되면 원격 코드 실행 취약점에 악용될 수도 있습니다.하지만 무엇이 잘못되었는지 더 잘 이해하기 위해 먼저 URL 인코딩을 자세히 살펴보겠습니다.
URL 인코딩
기본적으로 이 취약점은 URL 인코딩을 사용하는 URL에 대한 고려가 부족하기 때문에 발생합니다.새로 도입된 경로 정규화 기능은 점이 URL로 인코딩되는 경우를 완전히 처리하지 못했습니다.
경로 순회 공격을 수행하려면 시퀀스를 따라 트래버스해야 한다는 점을 기억하십시오. ../.하지만 정규화 함수는 이 부분을 제거할 수 있을 만큼 똑똑합니다.그럼 어떻게 하시나요?URL을 인코딩할 수 있습니다. .(도트) 아래로 %2e, 다음과 같은 시퀀스를 사용하십시오. .% 2e/.이는 대부분의 경우 아파치 2.4.40에서 작동할 것입니다.하지만 한 단계 더 나아가 이중 인코딩할 수도 있습니다.의 URL 인코딩 버전입니다. .% 2e/ 입니다 .% 252e/.이를 통해 아파치가 시도한 정규화를 더 우회할 수 있었다.
하지만 한 가지 문제가 있습니다
누군가가 브라우저에서 바로 이 취약점을 악용하려 한다면 성공하지 못할 것입니다.이는 브라우저가 서버로 전송되는 URL도 정규화하려고 하기 때문입니다.즉, 이중 인코딩된 시퀀스도 삭제됩니다.이는 또한 단순히 브라우저를 사용하여 이를 증명할 수 없다는 의미이기도 합니다.
cURL은 다음을 사용하여 이를 증명할 수 있습니다. --있는 그대로의 경로 URL을 보내기 전에 URL을 정규화하지 못하도록 하는 플래그:
예방 및 완화
문제를 완전히 방지하려면 Apache의 최신 패치를 최신 상태로 유지하는 것이 중요합니다.특히 최소한 2.4.51로 업그레이드하는 것이 좋습니다.하지만 정기적으로 업그레이드하여 최신 상태를 유지하는 것이 좋습니다.
2.4.49를 실행하는 경우 이 문제를 완화하려면 Apache 구성에 다음을 포함했는지 확인하십시오.
그리고 원격 코드 실행을 방지하려면 비활성화 mod_cgi 사용하지 않는 경우.
그 영향을 직접 경험해 보세요
정확히 무슨 일이 있었는지 알아보고 직접 시험해 보고 싶으신가요?
Índice
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
