![]()
File Upload ? 파일 업로드 기능이 있는 웹 상에서 업로드 파일에 대한 필터링 조치가 미흡하여 서버에서 실행될 수 있는 스크립트 파일이 서버에 업로드 되어 실행될 수 있는 취약점 File Upload 취약점이 존재할 경우 웹 쉘이 웹 서버에 업로드 되고 실행되어 공격자가 서버를 장악할 수 있기 때문에 상당히 위험도가 높은 취약점 중 하나입니다. DVWA 환경에서 File Upload 공격 실습 우선 본 실습에 앞서 실습 환경의 경우 리눅스 환경에서 DVWA 환경을 구축한 후 가장 취약한 환경인 Low 레벨 환경에서 실습을 진행하였습니다. File Upload 탭으로 이동한 모습 일반적인 파일 업로드 기능이 있는 것을 확인할 수 있다. File Upload 기능을 구현한 소스코드 따로 업로드 대상..
![]()
File Inclusion ? 주로 PHP 애플리케이션에서 발생하는 취약점 중 하나로 include() 함수로 다른 파일을 소스 코드에 직접 삽입할 수 있고, 일반 사용자가 웹 요청을 통해 include 할 파일을 직접 설정할 수 있는 경우 발생되는 취약점 동적으로 파일을 로드할 때 발생하는 취약점으로 로드하는 파일의 위치에 따라 LFI(Local File Inclusion)과 RFI(Remote File Inclusion)으로 구분된다. LFI ( Local File Inclusion ) ? 공격자가 공격 대상 서버에 위치한 파일을 include 하여 공격 즉, 로드하는 파일의 위치가 공격 대상에 위치한다. RFI (Remote File Inclusion ) ? 원격으로 외부 서버에 있는 파일을 inc..
![]()
CSRF (Cross-Site Request Forgery ) ? Cross-Site Request Forgery의 약어로 직역하면 사이트 간 요청 위조라는 의미 사용자의 의지와는 무관하게 공격자가 의도한 행위(게시글 작성, 수정, 삭제, 패스워드 변경 등)를 사용자의 권한으로 특정 웹 서버에 요청할 수 있는 취약점 보통 사회 공학 기법 중 하나인 피싱(Fishing)을 이용하여 악의적인 사이트를 전송하여 공격에 많이 이용한다. DVWA 환경에서 CSRF 공격 실습 우선 본 실습에 앞서 실습 환경의 경우 리눅스 환경에서 DVWA 환경을 구축한 후 가장 취약한 환경인 Low 레벨 환경에서 실습을 진행하였습니다. 위 사진은 CSRF 공격 실습을 하기 위해 CSRF 탭에 들어온 모습 일반적인 패스워드 변경 기..
![]()
무차별 대입(Brute Force) 공격 흔히 무차별 대입 공격이라고 불리는 공격 기법 특정한 암호를 알아내기 위해 공격자가 모든 무작위 값들의 조합을 반복적으로 입력함으로써 해킹을 시도하는 공격 Brute Force 공격 실습 우선 본 실습에 앞서 실습 환경의 경우 리눅스 환경에서 DVWA 환경을 구축한 후 가장 취약한 환경인 Low 레벨 환경에서 실습을 진행하였습니다. DVWA환경에서 Brute Force 탭에 들어온 모습 이곳의 사용자 계정과 패스워드를 모른다고 가정 후 Brute Force 공격을 통해 사용자 계정과 패스워드를 알아내는 공격 실습을 진행하였습니다. 먼저 해당 페이지의 로그인 화면에서 사용자 계정과 패스워드 입력란에 아무 텍스트나 입력한 후 로그인 시도후 Burp suite를 이용해..
![]()
Command Injection ? 취약한 애플리케이션을 실행 중인 서버에서 임의의 운영체제(OS) 명령을 실행하는 공격 system(), exec() 등 운영체제 명령어를 실행시키기 위해 사용되는 함수들을 이용해 개발을 함으로써 주로 발생되는 취약점 해당 취약점이 존재하여 공격에 당할 경우 애플리케이션을 구동하고 있는 시스템 계정의 Shell 권한을 공격자가 획득한 것과 같은 상황이기 때문에 상당히 위험도가 높은 취약점 중 하나이다. Command injection 실습 과정 우선 본 실습에 앞서 실습 환경의 경우 리눅스 환경에서 DVWA 환경을 구축한 후 가장 취약한 환경인 Low 레벨 환경에서 실습을 진행하였습니다. Command Injection 탭에 들어오면 텍스트란에 입력한 IP를 대상으로 일..
