File inclusion : php에서 include라는 함수를 이용해 소스코드에 포함하는 기능을 이용해서 공격자가 원하는 파일을 include 하는 취약점
LFI(Local File Inclusion) : 내부 파일 include
ex) ../../ 이용하는 디렉터리 트래버설 공격
RFI(Remote File Inclusion) : 외부 파일 include
DVWA에서 실습을 해 보았습니다.
CSRF처럼 작성해 놓은 코드를 보니 etc/passwd를 보는 코드
File1에 들어가면 다음과 같이 나오고
url이 page=file1 이렇게 되있어서
이렇게 바꿔주면 host의 /etc/passwd를 볼수 있어야되는데
잘 안됬다;
'정보보안 > 화이트 해커를 위한 웹해킹의 기술' 카테고리의 다른 글
| 민감한 데이터 노출 (0) | 2022.02.07 |
|---|---|
| File Upload (0) | 2022.02.07 |
| Cross Site Request Forgery (0) | 2022.02.05 |
| Cross-site scripting (0) | 2022.02.02 |
| Command Injection (0) | 2022.01.29 |