wpgur-security

File Upload (DVWA 사용)

파일 업로드 취약점 - 파일 업로드 기능이 존재하는 웹 어플리케이션에서 확장자 필터링이 제대로 이루어지지 않았을 경우 공격자가 악성 스크립트 파일(웹쉘)을 업로드하여 해당 웹쉘을 통해 원격에서 시스템을 제어할 수 있는 취약점을 말한다. -공격자는 취약점을 이용하여 시스템 명령 수행 등 시스템을 제어할 수 있으며 웹 페이지 변조 등의 공격도 수행할 수 있다. ※ 웹쉘 - 악의적인 목적으로 웹서버 내 임의의 명령을 실행할 수 있는 서버 스크립트 파일을 말하며 다양한 언어(ASP, PHP, JSP 등)로 만들어진다. 실습 다음같이 파일을 올릴 수있는곳에 웹쉘을 업로드 한다. [cmd.php] 따라서 업로드가 잘 이뤄지면 다음과 같은 경로에 업로드가 이뤄지게 되며 다음처럼 웹쉘경로에 파라미터를 넣어주어 원하는 ..