36. 웹 모의해킹 실습 (3) : 파일 업로드, Insecure CAPTCHA
파일 업로드(File Upload) 개념 웹 애플리케이션에 파일 업로드 기능이 존재하고, 업로드 파일에 대한 필터링 조치가 미흡하여, 서버 측에서 실행될 수 있는 서버 사이드 스크립트 파일(asp, jsp, php 파일 등)을 업로드가 가능해서 발생할 수 있는 취약점을 의미한다.�� 이때, 게시판 내에 첨부파일이 업로드된 파일 경로를 확인하고, 해당 경로에 접근한 후 서버 상의 웹 쉘을 실행하여, 시스템 내부 명령어를 실행하거나 권한을 획득하고, 외부와 연결하여 시스템을 제어할 수 있다. 해당 취약점을 통해 서버에 영향을 미쳐서 권한 상승, 정보 유출,악성코드 배포 등의 여러 보안 사고가 발생할 수 있으므로, 매우 크리티컬 한 취약점이라고 할 수 있다. 실습(Low Level)아래는 Low Level..
2024. 10. 27.
30. 침해대응&CERT (8) : 웹 취약점 실습_3
정말 많은 취약점들도 위험도를 따지는 우선순위가 존재한다. 보통 이 위험도를 상, 중, 하로 나누는데, 상으로 선정하는 가장 큰 포인트는 관리자의 권한 등을 탈취하여, 실제로 관리자가 할 수 있는 모든 것들을 할 수 있을 때, 가장 크리티컬 하다고 이야기한다. 즉, 이러한 관리자 권한 탈취와 같이 무궁무진한 리스크가 존재하고, 관련된 영향이 존재하는 경우, 보통 위험도를 높게 평가하는 것이다. 그 외에는 발생 빈도, 실제 사고 이력 등을 따져서 그 밖의 위험도를 선정한다고 볼 수 있다. 오늘 다룰 파일 다운로드 취약점, 파일 업로드 취약점, 소스코드 내 중요 정보 노출 취약점, 공개용 웹 게시판 취약점 중에 위험도가 상으로 되어있는 것은 파일 업로드 취약점에 존재한다. 파일 다운로드 취약점도 사실상 ..
2024. 8. 6.
