docs: SC(6-3)

Author: xmoonanx

_posts/2025-10-08-SC(6-1).md

@@ -95,37 +95,37 @@ last_modified_at: 2025-10-08
 * XML, 어노테이션 등 다양한 방식으로 매핑 설정 가능
 
 ### MyBatis 주요 기능
-1. **<span style="color: #008000">SQL 매핑 및 실행</span>**
+1. **<span style="color: #008000">SQL 매핑 및 실행</span>**  
 * Mapper 파일(`XML`) 또는 어노테이션 기반으로 SQL 문을 정의
 * SQL 문과 자바 객체 간의 **자동 매핑 제공**
 
-2. **<span style="color: #008000">동적 SQL 지원</span>**
+2. **<span style="color: #008000">동적 SQL 지원</span>**  
 * **조건문(`<if>`, `<choose>`) 및 반복문(`<foreach>`)**을 사용하여 유연한 쿼리 작성 가능
 
-![alt text](../assets/img/CyberSecurity/Mybatisactive.png)
+![alt text](../assets/img/CyberSecurity/Mybatisactive.png)  
 
-3. **<span style="color: #008000">타입 핸들러(Type Handler)</span>**
+3. **<span style="color: #008000">타입 핸들러(Type Handler)</span>**  
 * **자바 객체와 DB 데이터 간 변환**을 위한 사용자 정의 타입 핸들러 지원
 
-4. **<span style="color: #008000">플러그인 기능</span>**
+4. **<span style="color: #008000">플러그인 기능</span>**  
 * 인터셉터를 통해 쿼리 실행 전/후 로직을 확장하거나 커스터마이징 가능
 
 ---
 
 ### Mybatis 설정 및 구성
 
-1. **<span style="color: #008000">설정 파일(mybatis-config.xml)</span>**
+1. **<span style="color: #008000">설정 파일(mybatis-config.xml)</span>**  
 * 환경(데이터소스, 트랜잭션 매니저 등) 설정 및 전역 옵션 구성
 
-![alt text](../assets/img/CyberSecurity/Mybatissetting.png)
+![alt text](../assets/img/CyberSecurity/Mybatissetting.png)  
 
-2. **<span style="color: #008000">Mapper 파일 구성</span>**
+2. **<span style="color: #008000">Mapper 파일 구성</span>**  
 * SQL 문과 매핑 정보를 담은 XML 파일 또는 어노테이션 사용
 * 네임스페이스를 통해 Mapper를 구분하고 재사용성 향상
 
-![alt text](../assets/img/CyberSecurity/Mybatismapping.png)
+![alt text](../assets/img/CyberSecurity/Mybatismapping.png)  
 
-3. **<span style="color: #008000">데이터 소스 및 세션 관리</span>**
+3. **<span style="color: #008000">데이터 소스 및 세션 관리</span>**  
 * **DB 커넥션 풀**과 `SqlSessionFactory`를 이용해 세션 생성 및 관리
 * 스프링과 연동 시, **스프링 부트 자동 설정 및 통합 활용**
 

_posts/2025-10-08-SC(6-2).md

@@ -24,7 +24,7 @@ last_modified_at: 2025-10-08
 
 ### SQL Injection 발생 원인
 
-1. **동적 쿼리에서 사용자 입력 검증 부족**
+1. **동적 쿼리에서 사용자 입력 검증 부족**  
 * 폼, URL 파라미터, API 요청 등 **모든 외부 입력에 대해 검증 로직이 없는 경우** 발생
 * 입력 값 내 특수문자(`'` , `"`, `;` 등)를 처리하지 않아 SQL 구문이 의도치 않게 변경됨
 
@@ -33,7 +33,7 @@ last_modified_at: 2025-10-08
 SELECT * FROM users WHERE username = '" + userInput + "';
 ```
 
-2. **에러 메세지 및 정보 노출**
+2. **에러 메세지 및 정보 노출**  
 * 애플리케이션에서 내부 에러 메시지 및 데이터베이스 정보를 노출할 경우, 공격자가 이를 분석하여 추가 공격을 설계할 수 있음.
 * **에러 메시지에 포함된 내용으로 다양한 정보 획득 가능**
   * → SQL 구문 오류, 테이블명, 컬럼 명, DB 버전 등
@@ -43,7 +43,7 @@ SELECT * FROM users WHERE username = '" + userInput + "';
 SELECT * FROM users WHERE usernamne = '" + userInput + "';
 ```
 
-3. **권한 및 보안 설정 미흡**
+3. **권한 및 보안 설정 미흡**  
 * 애플리케이션에서 사용하는 DB 계정이 불필요한 권한(예: `DROP`, `ALTER`, `EXECUTE` 등)을 가지고 있을 경우, 공격자가 이를 악용 가능
 * 취약한 저장 프로시저를 통해 시스템 명령어 실행이나 추가 권한 상승 공격 가능
 
@@ -158,7 +158,7 @@ statement.executeQuery(sql);
 
 #### 코드 리뷰 방법
 1. **<span style="color: #008000">동적 SQL 구문 사용 여부 점검</span>**
-* **사용자 입력 값을 직접 쿼리 문자열에 결합**하는 경우
+* **사용자 입력 값을 직접 쿼리 문자열에 결합**하는 경우  
 
 ```java
 public User findUserByUsername(String username) {
@@ -170,9 +170,9 @@ public User findUserByUsername(String username) {
         return null;
     }
 } 
-```
+```  
 
-2. **<span style="color: #008000">입력 값 검증 및 이스케이핑 점검</span>**
+2. **<span style="color: #008000">입력 값 검증 및 이스케이핑 점검</span>**  
 * 사용자 입력 값에 대해 **화이트리스트 기반의 유효성 검증** 수행
 * 특수문자나 위험 문자에 대한 이스케이핑 적용 여부 확인
 

_posts/2025-10-08-SC(6-3).md

@@ -23,7 +23,7 @@ last_modified_at: 2025-10-08
 
 ### 운영체제별 명령어 실행 방식 이해
 
-#### Windows
+#### <span style="color: #008000">Windows</span>
 * **기본 명령어 인터프리터**
   * 주로 `cmd.exe`와 최근에는 `PowerShell` 사용
   * 내부 명령어와 외부 프로그램 호출 방식 구분
@@ -35,7 +35,7 @@ last_modified_at: 2025-10-08
   * Command Injection 시, **cmd.exe의 특수문자 해석을 악용 가능**
   * PowerShell의 스크립트 실행 정책 및 명령어 확장 취약점 존재
 
-#### Linux
+#### <span style="color: #008000">Linux</span>
 * **기본 명령어 인터프리터**
   * 기본적으로 `/bin/sh`(대부분 Bash 기반) 사용
   * 쉘의 확장 기능(파이프, 리다이렉션, 와일드카드 등) 활용
@@ -61,19 +61,19 @@ last_modified_at: 2025-10-08
 * 테스트 입력 값에 특**수문자 및 제어 문자를 삽입**하여 명령어의 실행 흐름 변화를 관찰
 * 다양한 OS(Windows, Linux)와 쉘의 파싱 규칙을 고려하여 테스트 케이스 설계
 
-#### 명령어 연결자 테스트
+#### <span style="color: #008000">명령어 연결자 테스트</span>
 * `&`, `&&`, `||`, `;` 등으로 추가 명령어 실행 테스트
   * 예) `"test && cat /etc/passwd"` 또는 `"test; ls"`
 
-#### 파이프 및 리다이렉션 테스트
+#### <span style="color: #008000">파이프 및 리다이렉션 테스트</span>
 * `|`, `>`, `<` 등을 활용해 명령어 조작 테스트
   * 예) `"test | ls"`, `"test > output.txt"`
 
-#### 환경 변수 활용 테스트
+#### <span style="color: #008000">환경 변수 활용 테스트</span>
 * `$PATH`, `$IFS` 등을 이용하여 **명령어 실행 환경 변경하거나, 검증 우회 시도**
   * 예) `"test $PATH"` 또는 `"test$IFSls"` 처럼 환경변수 활용 가능한지 테스트
 
-#### 서브 명령 실행 테스트
+#### <span style="color: #008000">서브 명령 실행 테스트</span>
 * **백틱 (\`) 또는 $()\`**를 사용해 서브 명령어 실행되는지 테스트
   * 예) "test \`ls\`" 또는 "test $(ls)"
 
@@ -96,6 +96,8 @@ last_modified_at: 2025-10-08
 
 ![alt text](../assets/img/SC/ZAP.png)
 
+---
+
 ## Command Injection 대응
 
 ### 시큐어 코딩 적용
@@ -140,6 +142,8 @@ if(version.matches("[0-9.]+")) { // 정규식 [0-9.]+로 숫자와 점만 허용
 6. **<span style="color: #008000">테스트 케이스 마련</span>**
 * 다양한 악의적 입력(우회 페이로드, 인코딩 변형 등)을 포함한 단위 테스트, 통합 테스트를 수행
 
+---
+
 ### 시스템 보호 전략
 
 1. **<span style="color: #008000">최소 권한 원칙 적용</span>**