CodeQL3 [go-and-dont-return] Github Security Lab CodeQL CTF 문제 요약 CTF Link : https://securitylab.github.com/ctf/go-and-dont-return/ MinIO는 Amazon S3 호환 객체 저장소로, 2023년 4월 MinIO Admin API에서 Authentication Bypass 취약점이 발견되었습니다. 해당 취약점은 Admin Access Key를 알고 있다면, Secret Key을 모르는 상태에서도 Admin API 작업을 수행할 수 있는 취약점으로 CVE-2020-11012를 할당받았습니다. 취약점이 조치된 Commit을 보면, 에러가 발생했을 때 Return이 누락된 것을 볼 수 있습니다. func validateAdminSignature(ctx context.Context, r *http.Request, r.. 2023. 8. 21. CodeQL 설치 및 사용 방법 CodeQL 설치 방법 ※ 아래의 설치 방법은 Linux 및 Windows의 설치 방법이며, Mac은 이 링크를 참고 1. CodeQL CLI 설치를 위해 CodeQL Bundle을 다운로드합니다. 해당 Bundle에는 아래의 프로그램이 포함됩니다. - CodeQL CLI - CodeQL Queries 및 Libraries 호환 버전 - Bundle에 포함된 모든 Queries의 사전 컴파일 버전 2. 다운로드 받은 Bundle을 압축 해제한 뒤, 환경 변수 PATH에 등록해줍니다. 파일 이름에 Platform 정보가 있는 파일은 모든 Platform의 CLI가 포함되어 있습니다. Releases · github/codeql-action Actions for running CodeQL analysis. .. 2023. 8. 21. [2020 Hitcon] Discover Vulnerabilities with CodeQL 번역 아래 내용은 2020년 Hitcon Conference 발표 자료를 번역하여 작성한 내용임을 밝힙니다. https://hitcon.org/2020/slides/Discover vulnerabilities with CodeQL.pdf https://hitcon.org/2020/agenda/46b26ca1-b4fc-461f-8ee3-b72a3aea7339/ CoeQL은 Variant Analysis를 지원하는 광범위한 라이브러리와 함께 제공되며, 여러 Langauge(C/C++, C#, Java, Javascript, Python ..)을 지원합니다. Static Analysis Data Flow Analysis Taint Anaylsis CFG Analysis Static Analysis Snapshot .. 2023. 7. 25. 이전 1 다음
