끄적끄적

개요 파일 업로드 취약점은 사용자가 업로드 하고자하는 파일명, 유형(MIME), 콘텐츠(Content-Type), 크기 등을 웹 서버에서 충분히 검증하지 않아 발생하는 취약점이다. 취약점의 영향 취약점의 영향도는 아래 두가지 요소에 따라 다르다. 파일의 크기, 유형, 내용 등에 대한 유효성 검증 미흡 파일 업로드 시 파일에 적용되는 제한 사항 서버 구성의 특정 유형 파일(웹셸: .php, .jsp 등)이 업로드 가능하고 파일에 제한 사항이 없을 경우, 공격자는 서버측 소스코드 파일을 업로드할 수 있다. 웹셸을 업로드 하였을 경우, 웹 서버가 동작 중인 SID에 따른 권한을 획득할 수 있다. 파일 이름의 유효성 검증이 미흡할 경우, 공격자가 동일한 이름의 파일을 업로드하여 중요 파일을 덮어 씌울 수 있으며..

모의 침투 테스팅을 위해 고의적으로 취약한 소스코드로 프로그래밍되어 있는 사이트다. 아래 사이트는 이와 같은 침투 테스트를 위한 ios 파일 및 강좌(영어)를 일부 무료로 제공합니다. 본 포스팅에서는 가장 쉬운 단계인 PentesterLab 1에 대해 작성해보려 합니다. https://pentesterlab.com/exercises/web_for_pentester/course PentesterLab: Learn Web App Pentesting! pentesterlab.com 본 포스팅은 해당 Pentester에 대한 내용만 다루려 합니다. 즉, 각 취약점에 대한 자세한 내용은 다른 포스팅에 정리합니다. 사용도구 Burp Suite or Fiddler, Virtual Machine or VMware et..