ABOUT ME

-

Today: -

Yesterday: -

Total: -

기록 기록

03-04. Server Side Attack - File Vulnerability

해킹/웹해킹 이론 2023. 11. 21. 21:35

File Upload Vulnerability

Path Traversal
- 이용자가 업로드할 파일의 이름을 마음대로 정할 수 있을 때 메타 문자를 사용해 서비스 내의 중요한 파일을 덮어 쓸 수 있다.
악성파일 업로드
- 웹 셸 업로드 (php)
  - 공격자가 임의 php 소스파일을 .php 확장자로 업로드하고 GET method를 포함하거나 system method를 포함하면 CGI에 의해 해당 코드가 실행된다.
  - <?php system("ls"); system($_GET[x]);?>
- Stored XSS (html)
  - 악의적인 스크립트를 삽입한 html페이지를 업로드 함으로써 XSS를 시도할 수 있다.
  - <script>alert(document.cookie);</script>

File Download Vulnerability

Path Traversal
- 이용자가 업로드할 파일의 이름을 마음대로 정할 수 있을 때 메타 문자를 사용해 서비스 내의 중요한 파일을 다운로드 받을 수 있다.

'해킹 > 웹해킹 이론' 카테고리의 다른 글

02-02. Client Side Attack 중급 - Content Security Policy(CSP) Bypass (0)	2023.11.24
02-01. Client Side Attack 중급 - XSS Filtering Bypass (1)	2023.11.24
03-03. Server Side Attack - Command Injection (0)	2023.11.21
03-02. Server Side Attack - Non-Relational DBMS (0)	2023.11.21
03-01. Server Side Attack - Relational DBMS (0)	2023.11.21

관련글 관련글 더보기

댓글

인기포스트

ABOUT ME

LINK

ADMIN

티스토리툴바