본문 바로가기
728x90

분류 전체보기480

파일 업로드 대응 방법 파일 업로드에 대해 모르신다면 아래 포스팅으로 보고 와주세요ㅎㅎ https://com24everyday.tistory.com/39 파일 업로드 공격 오늘은 파일 업로드 공격을 배워보겠습니다. 파일 업로드 공격이란 파일이 업로드 될 수 있는 페이지에 악성 파일(웹쉘)을 업로드하는 것 입니다. 웹쉘이란 커맨드 인젝션에서 본 것과 비슷하게 웹을 통해 시스템.. com24everyday.tistory.com 보면 이미지 파일의 내용을 확인하여 겉모습만 이미지 파일인 것들을 걸러주고 있습니다. 또 다른 방법으로는 업로드 되는 파일을 랜덤하게 생성시켜서 해커가 자기가 업로드한 파일에 접근하지 못하게 하는 방법입니다. 또 업로드 서버와 웹애플리케이션 서버와 분리하는 방법이 있습니다. 이 방법들이 다 안되면 업로드 폴.. 2020. 5. 6.
파일 업로드 공격 오늘은 파일 업로드 공격을 배워보겠습니다. 파일 업로드 공격이란 파일이 업로드 될 수 있는 페이지에 악성 파일(웹쉘)을 업로드하는 것 입니다. 웹쉘이란 커맨드 인젝션에서 본 것과 비슷하게 웹을 통해 시스템 명령어를 실행할 수 있는 페이지 입니다. 실습을 해보도록 하겠습니다. dvwa 를 열고 보안 등급을 low 로 해주세요. 웹쉘 파일 올려보겠습니다. 저희가 사용할 웹쉘의 내용은 이러합니다. php 프로그램으로 초반엔 커맨드를 입력해라는 내용과 사용자 입력을 받기 위한 폼을 표시하는 html 를 출력하고 cmd 라는 값이 설정되어있으면 system 이란 함수로 실행되는 내용입니다. 즉 사용자가 입력한 명령어를 실행하게 됩니다. https://github.com/SecuAcademy/webhacking/b.. 2020. 5. 6.
14.멀티캐스트&브로드캐스트 int send_sock; int time_lise =64; ..... send_sock=socket(PF_INET,SOCK_DGRAM,0); setsockopt(send_sock,IPPROTO_IPIP_MULTICAST_TTL,(void*)&time_live,sizeof(time_live)); 오늘은 멀티캐스트와 브로드캐스트에 대해 배워보겠습니다. 멀티캐스트와 브로드캐스트, 어디서 많이 들어본 거 같은 단어들입니다. 방송에서 많이 들은 거 같습니다. 여러분이 만약 방송사를 운영하고 있다면 1000명의 클라이언트가 서비스 요청을 할때 TCP기반이면 1000개의 소켓 연결을 유지해야하고 UDP 로 한다고 하더라도 1000회의 데이터 전송이 필요합니다. 이렇듯 다수의 클라이언트에게 동일한 데이터를 전송하는 .. 2020. 5. 4.
파일 인클루젼 공격대응 파일 인클루젼 공격대응 방안을 알아보겠습니다. 파일 인클루젼을 모르시는 분은 아래 포스팅을 봐주세요! https://com24everyday.tistory.com/36 파일 인클루젼 공격 안녕하세요. 오늘은 파일 인클루젼 공격에 대해 알아보겠습니다. 파일 인클루젼 공격은 주로 PHP Application 에서 발생합니다. 그 이유는 PHP include() 로 앱 요청을 지정할 수 있다면 파일을 직접 소스코드에.. com24everyday.tistory.com DVWA 보안을 'impossible'단계로 바꿉니다. 패스 트래버셜 공격이 실패한 것을 볼 수 있습니다. 소스코드를 확인해보겠습니다. 꼭 필요한 파일이 아니면 모조리 에러가 발생하도록 하고 있습니다. 가장 좋은 경우는 사용자 입력을 통해 파일이 .. 2020. 5. 4.
728x90