경로 탐색 취약점이 최근 아파치 문제의 원인으로 작용한 영향을 경험해 보십시오.
10월 초에 아파치는 문제를 해결하기 위해 버전 2.4.49를 출시했습니다. 경로 탐색 및 원격 코드 실행 취약성 그런 다음 2.4.50을 사용하여 2.4.49의 수정이 불완전하다는 사실을 해결했습니다.소셜 미디어에서 이러한 위험을 피하려면 최신 버전으로 업데이트하는 것이 중요하다는 이야기를 본 적이 있을 것입니다. 일부 추정에 따르면 Apache는 인터넷의 25% 를 지원합니다..하지만 무슨 일이야?여기에는 얼마나 많은 위험이 존재할까요?
직접 체험해 보지 않겠습니까?
우리는 실제 환경에서 위험을 입증한다는 사명을 세웠고 모든 사람이 시도할 수 있도록 공개했습니다.이번 미션에서는 Path Traversal 취약점이 인프라와 애플리케이션에 어떤 영향을 미칠 수 있는지 안내해 드리겠습니다.아래를 클릭하여 바로 시작하거나, 계속 읽으면서 취약점에 대해 자세히 알아보세요.
경로 탐색 취약성에 대한 정보
이 취약점은 2.4.49 릴리스에서 도입되었습니다 (URL 정규화 기능 변경으로 인해) 에서 새로운 경로 정규화 기능이 도입되었습니다.안타깝게도 URL 인코딩 경로를 제대로 정규화하지 못했습니다.이를 통해 다음을 수행할 수 있습니다. 경로 트래버설 공격 다음 구성이 없는 경우
.avif)
그리고 만약 mod_cgi 활성화되면 원격 코드 실행 취약점에 악용될 수도 있습니다.하지만 무엇이 잘못되었는지 더 잘 이해하기 위해 먼저 URL 인코딩을 자세히 살펴보겠습니다.
URL 인코딩
기본적으로 이 취약점은 URL 인코딩을 사용하는 URL에 대한 고려가 부족하기 때문에 발생합니다.새로 도입된 경로 정규화 기능은 점이 URL로 인코딩되는 경우를 완전히 처리하지 못했습니다.
경로 순회 공격을 수행하려면 시퀀스를 따라 트래버스해야 한다는 점을 기억하십시오. ../.하지만 정규화 함수는 이 부분을 제거할 수 있을 만큼 똑똑합니다.그럼 어떻게 하시나요?URL을 인코딩할 수 있습니다. .(도트) 아래로 %2e, 다음과 같은 시퀀스를 사용하십시오. .% 2e/.이는 대부분의 경우 아파치 2.4.40에서 작동할 것입니다.하지만 한 단계 더 나아가 이중 인코딩할 수도 있습니다.의 URL 인코딩 버전입니다. .% 2e/ 입니다 .% 252e/.이를 통해 아파치가 시도한 정규화를 더 우회할 수 있었다.
하지만 한 가지 문제가 있습니다
누군가가 브라우저에서 바로 이 취약점을 악용하려 한다면 성공하지 못할 것입니다.이는 브라우저가 서버로 전송되는 URL도 정규화하려고 하기 때문입니다.즉, 이중 인코딩된 시퀀스도 삭제됩니다.이는 또한 단순히 브라우저를 사용하여 이를 증명할 수 없다는 의미이기도 합니다.
cURL은 다음을 사용하여 이를 증명할 수 있습니다. --있는 그대로의 경로 URL을 보내기 전에 URL을 정규화하지 못하도록 하는 플래그:
.avif)
예방 및 완화
문제를 완전히 방지하려면 Apache의 최신 패치를 최신 상태로 유지하는 것이 중요합니다.특히 최소한 2.4.51로 업그레이드하는 것이 좋습니다.하지만 정기적으로 업그레이드하여 최신 상태를 유지하는 것이 좋습니다.
2.4.49를 실행하는 경우 이 문제를 완화하려면 Apache 구성에 다음을 포함했는지 확인하십시오.
.avif)
그리고 원격 코드 실행을 방지하려면 비활성화 mod_cgi 사용하지 않는 경우.
그 영향을 직접 경험해 보세요
정확히 무슨 일이 있었는지 알아보고 직접 시험해 보고 싶으신가요?
10월 초에 Apache는 경로 탐색 및 원격 코드 실행 취약점을 수정하기 위해 버전 2.4.49를 출시했으며, 수정이 불완전하다는 사실을 해결하기 위해 2.4.50을 출시했습니다.우리는 실제 환경에서 위험을 입증하겠다는 사명을 세웠습니다.지금 사용해 보세요.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
10월 초에 아파치는 문제를 해결하기 위해 버전 2.4.49를 출시했습니다. 경로 탐색 및 원격 코드 실행 취약성 그런 다음 2.4.50을 사용하여 2.4.49의 수정이 불완전하다는 사실을 해결했습니다.소셜 미디어에서 이러한 위험을 피하려면 최신 버전으로 업데이트하는 것이 중요하다는 이야기를 본 적이 있을 것입니다. 일부 추정에 따르면 Apache는 인터넷의 25% 를 지원합니다..하지만 무슨 일이야?여기에는 얼마나 많은 위험이 존재할까요?
직접 체험해 보지 않겠습니까?
우리는 실제 환경에서 위험을 입증한다는 사명을 세웠고 모든 사람이 시도할 수 있도록 공개했습니다.이번 미션에서는 Path Traversal 취약점이 인프라와 애플리케이션에 어떤 영향을 미칠 수 있는지 안내해 드리겠습니다.아래를 클릭하여 바로 시작하거나, 계속 읽으면서 취약점에 대해 자세히 알아보세요.
경로 탐색 취약성에 대한 정보
이 취약점은 2.4.49 릴리스에서 도입되었습니다 (URL 정규화 기능 변경으로 인해) 에서 새로운 경로 정규화 기능이 도입되었습니다.안타깝게도 URL 인코딩 경로를 제대로 정규화하지 못했습니다.이를 통해 다음을 수행할 수 있습니다. 경로 트래버설 공격 다음 구성이 없는 경우
그리고 만약 mod_cgi 활성화되면 원격 코드 실행 취약점에 악용될 수도 있습니다.하지만 무엇이 잘못되었는지 더 잘 이해하기 위해 먼저 URL 인코딩을 자세히 살펴보겠습니다.
URL 인코딩
기본적으로 이 취약점은 URL 인코딩을 사용하는 URL에 대한 고려가 부족하기 때문에 발생합니다.새로 도입된 경로 정규화 기능은 점이 URL로 인코딩되는 경우를 완전히 처리하지 못했습니다.
경로 순회 공격을 수행하려면 시퀀스를 따라 트래버스해야 한다는 점을 기억하십시오. ../.하지만 정규화 함수는 이 부분을 제거할 수 있을 만큼 똑똑합니다.그럼 어떻게 하시나요?URL을 인코딩할 수 있습니다. .(도트) 아래로 %2e, 다음과 같은 시퀀스를 사용하십시오. .% 2e/.이는 대부분의 경우 아파치 2.4.40에서 작동할 것입니다.하지만 한 단계 더 나아가 이중 인코딩할 수도 있습니다.의 URL 인코딩 버전입니다. .% 2e/ 입니다 .% 252e/.이를 통해 아파치가 시도한 정규화를 더 우회할 수 있었다.
하지만 한 가지 문제가 있습니다
누군가가 브라우저에서 바로 이 취약점을 악용하려 한다면 성공하지 못할 것입니다.이는 브라우저가 서버로 전송되는 URL도 정규화하려고 하기 때문입니다.즉, 이중 인코딩된 시퀀스도 삭제됩니다.이는 또한 단순히 브라우저를 사용하여 이를 증명할 수 없다는 의미이기도 합니다.
cURL은 다음을 사용하여 이를 증명할 수 있습니다. --있는 그대로의 경로 URL을 보내기 전에 URL을 정규화하지 못하도록 하는 플래그:
예방 및 완화
문제를 완전히 방지하려면 Apache의 최신 패치를 최신 상태로 유지하는 것이 중요합니다.특히 최소한 2.4.51로 업그레이드하는 것이 좋습니다.하지만 정기적으로 업그레이드하여 최신 상태를 유지하는 것이 좋습니다.
2.4.49를 실행하는 경우 이 문제를 완화하려면 Apache 구성에 다음을 포함했는지 확인하십시오.
그리고 원격 코드 실행을 방지하려면 비활성화 mod_cgi 사용하지 않는 경우.
그 영향을 직접 경험해 보세요
정확히 무슨 일이 있었는지 알아보고 직접 시험해 보고 싶으신가요?
10월 초에 아파치는 문제를 해결하기 위해 버전 2.4.49를 출시했습니다. 경로 탐색 및 원격 코드 실행 취약성 그런 다음 2.4.50을 사용하여 2.4.49의 수정이 불완전하다는 사실을 해결했습니다.소셜 미디어에서 이러한 위험을 피하려면 최신 버전으로 업데이트하는 것이 중요하다는 이야기를 본 적이 있을 것입니다. 일부 추정에 따르면 Apache는 인터넷의 25% 를 지원합니다..하지만 무슨 일이야?여기에는 얼마나 많은 위험이 존재할까요?
직접 체험해 보지 않겠습니까?
우리는 실제 환경에서 위험을 입증한다는 사명을 세웠고 모든 사람이 시도할 수 있도록 공개했습니다.이번 미션에서는 Path Traversal 취약점이 인프라와 애플리케이션에 어떤 영향을 미칠 수 있는지 안내해 드리겠습니다.아래를 클릭하여 바로 시작하거나, 계속 읽으면서 취약점에 대해 자세히 알아보세요.
경로 탐색 취약성에 대한 정보
이 취약점은 2.4.49 릴리스에서 도입되었습니다 (URL 정규화 기능 변경으로 인해) 에서 새로운 경로 정규화 기능이 도입되었습니다.안타깝게도 URL 인코딩 경로를 제대로 정규화하지 못했습니다.이를 통해 다음을 수행할 수 있습니다. 경로 트래버설 공격 다음 구성이 없는 경우
그리고 만약 mod_cgi 활성화되면 원격 코드 실행 취약점에 악용될 수도 있습니다.하지만 무엇이 잘못되었는지 더 잘 이해하기 위해 먼저 URL 인코딩을 자세히 살펴보겠습니다.
URL 인코딩
기본적으로 이 취약점은 URL 인코딩을 사용하는 URL에 대한 고려가 부족하기 때문에 발생합니다.새로 도입된 경로 정규화 기능은 점이 URL로 인코딩되는 경우를 완전히 처리하지 못했습니다.
경로 순회 공격을 수행하려면 시퀀스를 따라 트래버스해야 한다는 점을 기억하십시오. ../.하지만 정규화 함수는 이 부분을 제거할 수 있을 만큼 똑똑합니다.그럼 어떻게 하시나요?URL을 인코딩할 수 있습니다. .(도트) 아래로 %2e, 다음과 같은 시퀀스를 사용하십시오. .% 2e/.이는 대부분의 경우 아파치 2.4.40에서 작동할 것입니다.하지만 한 단계 더 나아가 이중 인코딩할 수도 있습니다.의 URL 인코딩 버전입니다. .% 2e/ 입니다 .% 252e/.이를 통해 아파치가 시도한 정규화를 더 우회할 수 있었다.
하지만 한 가지 문제가 있습니다
누군가가 브라우저에서 바로 이 취약점을 악용하려 한다면 성공하지 못할 것입니다.이는 브라우저가 서버로 전송되는 URL도 정규화하려고 하기 때문입니다.즉, 이중 인코딩된 시퀀스도 삭제됩니다.이는 또한 단순히 브라우저를 사용하여 이를 증명할 수 없다는 의미이기도 합니다.
cURL은 다음을 사용하여 이를 증명할 수 있습니다. --있는 그대로의 경로 URL을 보내기 전에 URL을 정규화하지 못하도록 하는 플래그:
예방 및 완화
문제를 완전히 방지하려면 Apache의 최신 패치를 최신 상태로 유지하는 것이 중요합니다.특히 최소한 2.4.51로 업그레이드하는 것이 좋습니다.하지만 정기적으로 업그레이드하여 최신 상태를 유지하는 것이 좋습니다.
2.4.49를 실행하는 경우 이 문제를 완화하려면 Apache 구성에 다음을 포함했는지 확인하십시오.
그리고 원격 코드 실행을 방지하려면 비활성화 mod_cgi 사용하지 않는 경우.
그 영향을 직접 경험해 보세요
정확히 무슨 일이 있었는지 알아보고 직접 시험해 보고 싶으신가요?
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
10월 초에 아파치는 문제를 해결하기 위해 버전 2.4.49를 출시했습니다. 경로 탐색 및 원격 코드 실행 취약성 그런 다음 2.4.50을 사용하여 2.4.49의 수정이 불완전하다는 사실을 해결했습니다.소셜 미디어에서 이러한 위험을 피하려면 최신 버전으로 업데이트하는 것이 중요하다는 이야기를 본 적이 있을 것입니다. 일부 추정에 따르면 Apache는 인터넷의 25% 를 지원합니다..하지만 무슨 일이야?여기에는 얼마나 많은 위험이 존재할까요?
직접 체험해 보지 않겠습니까?
우리는 실제 환경에서 위험을 입증한다는 사명을 세웠고 모든 사람이 시도할 수 있도록 공개했습니다.이번 미션에서는 Path Traversal 취약점이 인프라와 애플리케이션에 어떤 영향을 미칠 수 있는지 안내해 드리겠습니다.아래를 클릭하여 바로 시작하거나, 계속 읽으면서 취약점에 대해 자세히 알아보세요.
경로 탐색 취약성에 대한 정보
이 취약점은 2.4.49 릴리스에서 도입되었습니다 (URL 정규화 기능 변경으로 인해) 에서 새로운 경로 정규화 기능이 도입되었습니다.안타깝게도 URL 인코딩 경로를 제대로 정규화하지 못했습니다.이를 통해 다음을 수행할 수 있습니다. 경로 트래버설 공격 다음 구성이 없는 경우
그리고 만약 mod_cgi 활성화되면 원격 코드 실행 취약점에 악용될 수도 있습니다.하지만 무엇이 잘못되었는지 더 잘 이해하기 위해 먼저 URL 인코딩을 자세히 살펴보겠습니다.
URL 인코딩
기본적으로 이 취약점은 URL 인코딩을 사용하는 URL에 대한 고려가 부족하기 때문에 발생합니다.새로 도입된 경로 정규화 기능은 점이 URL로 인코딩되는 경우를 완전히 처리하지 못했습니다.
경로 순회 공격을 수행하려면 시퀀스를 따라 트래버스해야 한다는 점을 기억하십시오. ../.하지만 정규화 함수는 이 부분을 제거할 수 있을 만큼 똑똑합니다.그럼 어떻게 하시나요?URL을 인코딩할 수 있습니다. .(도트) 아래로 %2e, 다음과 같은 시퀀스를 사용하십시오. .% 2e/.이는 대부분의 경우 아파치 2.4.40에서 작동할 것입니다.하지만 한 단계 더 나아가 이중 인코딩할 수도 있습니다.의 URL 인코딩 버전입니다. .% 2e/ 입니다 .% 252e/.이를 통해 아파치가 시도한 정규화를 더 우회할 수 있었다.
하지만 한 가지 문제가 있습니다
누군가가 브라우저에서 바로 이 취약점을 악용하려 한다면 성공하지 못할 것입니다.이는 브라우저가 서버로 전송되는 URL도 정규화하려고 하기 때문입니다.즉, 이중 인코딩된 시퀀스도 삭제됩니다.이는 또한 단순히 브라우저를 사용하여 이를 증명할 수 없다는 의미이기도 합니다.
cURL은 다음을 사용하여 이를 증명할 수 있습니다. --있는 그대로의 경로 URL을 보내기 전에 URL을 정규화하지 못하도록 하는 플래그:
예방 및 완화
문제를 완전히 방지하려면 Apache의 최신 패치를 최신 상태로 유지하는 것이 중요합니다.특히 최소한 2.4.51로 업그레이드하는 것이 좋습니다.하지만 정기적으로 업그레이드하여 최신 상태를 유지하는 것이 좋습니다.
2.4.49를 실행하는 경우 이 문제를 완화하려면 Apache 구성에 다음을 포함했는지 확인하십시오.
그리고 원격 코드 실행을 방지하려면 비활성화 mod_cgi 사용하지 않는 경우.
그 영향을 직접 경험해 보세요
정확히 무슨 일이 있었는지 알아보고 직접 시험해 보고 싶으신가요?
Table des matières
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
