웹 취약점 분석14 파일 업로드 취약점(ASP기반) 파일업로드 취약점이란 파일 첨부를 할 수 있는 게시판에 일반적으로 허용된 파일(이미지 파일, 워드 파일 등)이외의 개발자가 실수로 서버측에서 악의적인 스크립트가 포함된 소스파일(.JSP, .PHP, ASP등..)을 제대로 된 필터링(확장자)을 하지않아 공격자가 이런 취약점을 이용하여 악성 쉘코드를 등재 후 서버 상에서 쉘코드를 실행시켜 DB 소스코드, 각종 디렉토리 파일들을 획득 및 서버를 장악할 수 있는 매우 위험한 취약점임. 1. 파일 업로드 취약점을 이용하여 서버에 존재하는 모든 디렉토리 파일에 접근하기. 게시판에 글쓰기에 들어가서 파일을 올리수있는 부분이 있는지 확인하고 첨부파일 부분이 있으면 파일업로드 취약점이 있는지 확장자.asp파일(악성 웹쉘 코드)을 등록해봄. 프록시 툴(Burp suite.. 2019. 7. 3. XSS(Cross site Scripting)(ASP기반) XSS(Cross site Scripting)이란 웹 애플리케이션에서 사용자 입력값에 대한 필터링이 제대로 이루어지지 않을 경우 게시판, Q&A, 댓글 등에 악성 스크립트 코드를 넣어 사용자 및 관리자 쿠키/세션을 탈취하는 공격방식 이다. XSS는 stored xss, reflected xss, dom dasesd로 3가지로 나뉜다. 1. Stored XSS:공격자가 해당 게시글에 악성 스크립트를 삽입하여 해당 게시글을 저장 후 불특정 다수를 대상으로 하여 공격하는 방식으로 이는 스크립트가 DB에 저장이 되며(다회성 공격이 가능) 사용자가 클릭을 했을 때 동작을 한다. stored xss 예제) 2. Reflected XSS: 특정 사이트에 있는 URL주소 입력창에 직접 주소를 입력하여 공격하는 기법이다.. 2019. 6. 19. 이전 1 2 3 4 다음
