테크리빗

1. File Inclusion 취약점이란?웹 애플리케이션이 파일을 동적으로 포함할 때, 사용자가 직접 입력한 값이 포함될 경우 악의적인 파일을 불러오거나 실행할 수 있는 취약점을 의미합니다. 여기서 동적이라는 의미는 사용자의 입력이나 변수 값에 따라 다른 파일을 불러와 실행하는 것을 의미합니다.즉, 정해진 파일이 아니라, 사용자의 요청이나 특정 조건에 따라 불러오는 파일이 달라지는 방식입니다. 공격자는 해당 취약점을 통해, 3가지의 악의적인 행위를 수행할 수 있습니다. 1. 악성 스크립트 포함시켜 서버내에서 악성 코드를 실행 2. 서버내에 중요한 파일(/etc/passwd) 유출3. 웹 업로드  2. File Inclusion 유형File Inclusion 취약점은 로컬 파일 포함(Local File ..

Insecure CAPTCHA이란CAPTCHA는 사람과 컴퓨터를 구분하기 위해 사용하는 보안기술로 웹사이트에서 자동화된 봇의 무차별 공격을 방지하기 위해 사용됩니다. 공격자는 CAPTCHA에 존재하는 취약점을 활용하여 CAPTCHA를 우회하거나 무효화할 수 있습니다. 이는 웹 애플리케이션의 보안을 심각하게 손상시킬 수 있으며, 무차별 대입 공격이나 계정 탈취 시도에 취약해질 수 있습니다. (참고) 요즘은 CAPTCHA보다는 cloudflare turnstile을 많이 활용하는 것 같습니다. DVWA 실습으로 알아보기참고로 해당 실습을 수행하기 위해서는 DVWA CAPTCHA 설정이 필요합니다.  CAPTCHA가 적용된 페이지가 어떻게 동작하는지 확인해 보겠습니다.패스워드 변경을 하는 페이지로 보이며, 변..

File Upload 취약점이란파일을 업로드할 때, 파일에 대한 충분한 검증을 하지 않아서 발생하는 보안 취약점입니다. 예를 들어 서버가 특정 파일 유형(예:. php,. jsp 등)을 실행할 수 있도록 허용할 경우, 공격자는 서버 측 코드 파일을 업로드하여 웹 셸을 실행할 수 있습니다. 이는 공격자가 서버를 완전히 제어할 수 있게 만듭니다 DVWA 실습으로 알아보기File Upload 취약점은 주로 웹셸을 업로드하여 서버에 접근하고 권한을 획득하는 공격과 같이 사용됩니다.아래 2023년 8월에 발생한 파일업로드 공격사례에서도 파일업로드 취약점을 이용해 웹셸을 업로드하는 것을 볼 수 있었습니다. DVWA활용하여, 실제 공격 방식과 유사하도록 파일 업로드 취약점을 활용해 웹셸 업로드를 하는 실습을 진행해 ..