Security Study/Web

Web ์ทจ์•ฝ์  ๊ด€๋ จ ๋‚ด์šฉ ์ •๋ฆฌ

๐“›๐“พ๐“ฌ๐“ฎ๐“ฝ๐“ฎ_๐“ข๐“ฝ๐“ฎ๐“ต๐“ต๐“ช 2023. 3. 10.
728x90
๋ฐ˜์‘ํ˜•

ํ•ด๋‹น ๋ธ”๋กœ๊ทธ๋Š” ํ•ดํ‚น ๋ฐ ๋ณด์•ˆ ๋ธ”๋กœ๊ทธ๋กœ ๊ณต๋ถ€ ๋ฐ ์—ฐ๊ตฌ์šฉ์œผ๋กœ ์ž‘์„ฑ๋˜์–ด์ง€๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค. ์•„๋ž˜์˜ ๋‚ด์šฉ์„ ๊ธฐ๋ฐ˜์œผ๋กœ ํ•ดํ‚น ์‹œ๋„ ๋ฐ ์‹ค์ œ ๊ณต๊ฒฉ์„ ์‹œ๋„ํ•˜์—ฌ ์ผ์–ด๋‚˜๋Š” ๋ชจ๋“  ์ฑ…์ž„์€ ๋ณธ์ธ(๋”ฐ๋ผํ•œ์ž)์—๊ฒŒ ์žˆ์Œ์„ ์•Œ๋ ค๋“œ๋ฆฌ๋ฉฐ, ๊ธ€์“ด์ด๋Š” ์•„๋ฌด๋Ÿฐ ์ฑ…์ž„์„ ์ง€์ง€ ์•Š์Šต๋‹ˆ๋‹ค. ๊ผญ ๊ณต๋ถ€ ๋ฐ ์—ฐ๊ตฌ์šฉ์œผ๋กœ๋งŒ ์‚ฌ์šฉํ•˜์—ฌ ์ฃผ์‹œ๊ธธ ๋ฐ”๋ž๋‹ˆ๋‹ค. ๊ฐ์‚ฌํ•ฉ๋‹ˆ๋‹ค.

๊ฐœ์š”

ํ˜ผ์ž ์ด๊ฒƒ์ €๊ฒƒํ•˜๋‹ค๊ฐ€ ์ž‘์„ฑํ•˜๋ฉฐ ์ถ”ํ›„์— ํ•„์š”์— ์˜ํ•ด ๋‹ค์‹œํ•œ๋ฒˆ ๋” ๋ณด๊ธฐ ์œ„ํ•จ.

๋‚ด์šฉ

์ตœ๊ทผ์— web๊ด€๋ จ ํ•  ๊ฒƒ์ด ์žˆ๋‹ค๋ณด๋‹ˆ ์›น ์ทจ์•ฝ์ ์„ ์ฐพ๊ณ ์žˆ๋‹ค.  ๊ณผ๊ฑฐ์— file upload์™€ ํ•œ์Œ์œผ๋กœ ๋ถ™์–ด๋‹ค๋‹ˆ๋˜ file download์ทจ์•ฝ์ ์€ path traversal์ด๋ผ๋Š” ์ทจ์•ฝ์ ๊ณผ ํ•จ๊ป˜ ๋ฌถ์—ฌ์„œ ๋‹ค๋‹ˆ๋Š” ๊ฒƒ๊ฐ™๋‹ค.date

๊ฒ€์ƒ‰์„ ํ•ด๋„ file download vulnerability ๋ณด๋‹จ path traversal ๋กœ ๊ฒ€์ƒ‰ํ•˜๋Š”๊ฒŒ ๋” ๋งŽ์€ ๋‚ด์šฉ์„ ์ฃผ๋Š” ๊ฒƒ๊ฐ™๋‹ค.

์ด๋Ÿฐ ๊ฒƒ๋“ค์„ ํ•˜๋‹ค๋ณด๋‹ˆ ๊ทธ๋ƒฅ ์ŒฉํŒ ๋…ธ๊ฐ€๋‹ค ํ•˜๊ธฐ๊ฐ€ ์‹ซ์–ด์„œ firefox์˜ ํ™•์žฅํ”„๋กœ๊ทธ๋žจ์ธ hack toolbar๋ผ๋Š” ๊ฒƒ์„ ์‚ฌ์šฉํ•ด๋ณด์•˜๋‹ค.

๋ญ ์—„์ฒญ ๋Œ€๋‹จํ•œ๊ฑด ์•„๋‹ˆ๊ณ  ๊ทธ๋ƒฅ ๊ฐ„๋‹จํ•œ ์Šคํฌ๋ฆฝํŠธ ๊ฐ™์€ ๊ฒƒ์„ ๋งŒ๋“ค์–ด ์ค€๋‹ค๋ž„๊นŒ? 

์—„์ฒญ๋‚œ ์Šคํฌ๋ฆฝํŠธ๋ฅผ ๋งŒ๋“ค์–ด์ฃผ๋Š” ๊ฒƒ์€ ์•„๋‹ˆ๋‹ค ๋ณด๋‹ˆ ๊ทธ๋ƒฅ ์ฐธ๊ณ ๋ฅผ ํ•˜๋Š” ๊ฑด ๋‚˜์˜์ง€์•Š๋‹ค๊ณ  ์ƒ๊ฐํ•œ๋‹ค.

 

                                                                                                                                                                                                                                                                                                  ๋‹ค๋ฅธ๋‚ด์šฉ์ด ์žˆ๋‹ค๋ฉด ์ถ”๊ฐ€ํ•ด์„œ ๋“œ๋ฆฌ๋„๋กํ•˜๊ฒ ์Šต๋‹ˆ๋‹ค.                                                                                                                         

 

728x90
๋ฐ˜์‘ํ˜•

๋Œ“๊ธ€