728x90 dvwa5 파일 업로드 대응 방법 파일 업로드에 대해 모르신다면 아래 포스팅으로 보고 와주세요ㅎㅎ https://com24everyday.tistory.com/39 파일 업로드 공격 오늘은 파일 업로드 공격을 배워보겠습니다. 파일 업로드 공격이란 파일이 업로드 될 수 있는 페이지에 악성 파일(웹쉘)을 업로드하는 것 입니다. 웹쉘이란 커맨드 인젝션에서 본 것과 비슷하게 웹을 통해 시스템.. com24everyday.tistory.com 보면 이미지 파일의 내용을 확인하여 겉모습만 이미지 파일인 것들을 걸러주고 있습니다. 또 다른 방법으로는 업로드 되는 파일을 랜덤하게 생성시켜서 해커가 자기가 업로드한 파일에 접근하지 못하게 하는 방법입니다. 또 업로드 서버와 웹애플리케이션 서버와 분리하는 방법이 있습니다. 이 방법들이 다 안되면 업로드 폴.. 2020. 5. 6. 파일 인클루젼 공격대응 파일 인클루젼 공격대응 방안을 알아보겠습니다. 파일 인클루젼을 모르시는 분은 아래 포스팅을 봐주세요! https://com24everyday.tistory.com/36 파일 인클루젼 공격 안녕하세요. 오늘은 파일 인클루젼 공격에 대해 알아보겠습니다. 파일 인클루젼 공격은 주로 PHP Application 에서 발생합니다. 그 이유는 PHP include() 로 앱 요청을 지정할 수 있다면 파일을 직접 소스코드에.. com24everyday.tistory.com DVWA 보안을 'impossible'단계로 바꿉니다. 패스 트래버셜 공격이 실패한 것을 볼 수 있습니다. 소스코드를 확인해보겠습니다. 꼭 필요한 파일이 아니면 모조리 에러가 발생하도록 하고 있습니다. 가장 좋은 경우는 사용자 입력을 통해 파일이 .. 2020. 5. 4. 파일 인클루젼 공격 안녕하세요. 오늘은 파일 인클루젼 공격에 대해 알아보겠습니다. 파일 인클루젼 공격은 주로 PHP Application 에서 발생합니다. 그 이유는 PHP include() 로 앱 요청을 지정할 수 있다면 파일을 직접 소스코드에 삽입할 수 있기 때문입니다. -로컬파일인클루젼(LFI) : 웹 서버에 이미 존재하고 있는 파일을 인클루드 -리모트파일인클루젼(RFI) : LFI 보다 더 강력한 공격으로 원격으로 외부에 있는 파일을 인클루드 정상적 웹 사이트 page=file.php 이렇게 파일을 인클루드 하는데 해커는 자신의 사이트를 통해 page = htpp://hacker.com/bad.php 인클루드 시켜버립니다. 만약 검사를 따로 하지 않는다면 웹 사이트는 그대로 악성코드를 실행시키게 되는 겁니다. 이제 .. 2020. 5. 4. 브루트포스 공격대응 무차별대입공격 알고 싶으시다면 밑의 포스팅을 보고 와주세요ㅎㅎ https://com24everyday.tistory.com/30 브루트포스(Bruteforce) 브루트포스 공격 무차별 대입 공격이라고 합니다. 사용자 패스워드를 알아내기 위한 공격 무식하게 패스워드 계속 대입! 방법 1. 알파벳 순으로 차례차례 입력 ex) 과거 휴대폰을 사용할때 비밀번호 잃어버려서 11.. com24everyday.tistory.com 대응 방법에 대해 알아보겠습니다! DVWA 의 Security 를 'medium'으로 submit 해줍니다. View Source sleep(2) 을 해서 브루스 포스 공격을 늦춰버립니다. 이러면 시간이 오래걸리기 때문에 브루스포스 공격을 어느정도 막을 수 있습니다. 다음은 Security.. 2020. 5. 1. 이전 1 2 다음 728x90
