게시판에 파일을 올리는 등을 이용해서 웹쉘을 업로드 해서 시스템 명령을 실행 하는 것이다.
이번에도 DVWA에 File Upload를 보았다.
책에서 준비해준 코드를 보면 system함수를 실행하게 하는 웹쉘 인것 같다.
이 파일을 올리면
파일이 올라간 주소가 나오는데
이 주소에 접근하면 원하는 대로 실행 할 수 있다.
이를 막기 위해서는
-파일의 확장자, 내용 검사
- 파일 저장 경로 설정/ 서버를 따로 구축
- 파일 업로드 디렉터리 실행 권한 제거
- 다른 확장자로 변경
등의 여러가지 방법이 있지만
어줍잖게 하면 우회해서 공격할 수 있다고 하는 것 같다.
'정보보안 > 화이트 해커를 위한 웹해킹의 기술' 카테고리의 다른 글
| 접근 통제 취약점 공격 (0) | 2022.02.08 |
|---|---|
| 민감한 데이터 노출 (0) | 2022.02.07 |
| File Inclusion (0) | 2022.02.05 |
| Cross Site Request Forgery (0) | 2022.02.05 |
| Cross-site scripting (0) | 2022.02.02 |