ํด๋น ๋ธ๋ก๊ทธ๋ ํดํน ๋ฐ ๋ณด์ ๋ธ๋ก๊ทธ๋ก ๊ณต๋ถ ๋ฐ ์ฐ๊ตฌ์ฉ์ผ๋ก ์์ฑ๋์ด์ง๊ณ ์์ต๋๋ค. ์๋์ ๋ด์ฉ์ ๊ธฐ๋ฐ์ผ๋ก ํดํน ์๋ ๋ฐ ์ค์ ๊ณต๊ฒฉ์ ์๋ํ์ฌ ์ผ์ด๋๋ ๋ชจ๋ ์ฑ ์์ ๋ณธ์ธ(๋ฐ๋ผํ์)์๊ฒ ์์์ ์๋ ค๋๋ฆฌ๋ฉฐ, ๊ธ์ด์ด๋ ์๋ฌด๋ฐ ์ฑ ์์ ์ง์ง ์์ต๋๋ค. ๊ผญ ๊ณต๋ถ ๋ฐ ์ฐ๊ตฌ์ฉ์ผ๋ก๋ง ์ฌ์ฉํ์ฌ ์ฃผ์๊ธธ ๋ฐ๋๋๋ค. ๊ฐ์ฌํฉ๋๋ค.
๊ฐ์
ํผ์ ์ด๊ฒ์ ๊ฒํ๋ค๊ฐ ์์ฑํ๋ฉฐ ์ถํ์ ํ์์ ์ํด ๋ค์ํ๋ฒ ๋ ๋ณด๊ธฐ ์ํจ.
๋ด์ฉ
์ต๊ทผ์ web๊ด๋ จ ํ ๊ฒ์ด ์๋ค๋ณด๋ ์น ์ทจ์ฝ์ ์ ์ฐพ๊ณ ์๋ค. ๊ณผ๊ฑฐ์ file upload์ ํ์์ผ๋ก ๋ถ์ด๋ค๋๋ file download์ทจ์ฝ์ ์ path traversal์ด๋ผ๋ ์ทจ์ฝ์ ๊ณผ ํจ๊ป ๋ฌถ์ฌ์ ๋ค๋๋ ๊ฒ๊ฐ๋ค.date
๊ฒ์์ ํด๋ file download vulnerability ๋ณด๋จ path traversal ๋ก ๊ฒ์ํ๋๊ฒ ๋ ๋ง์ ๋ด์ฉ์ ์ฃผ๋ ๊ฒ๊ฐ๋ค.
์ด๋ฐ ๊ฒ๋ค์ ํ๋ค๋ณด๋ ๊ทธ๋ฅ ์ฉํ ๋ ธ๊ฐ๋ค ํ๊ธฐ๊ฐ ์ซ์ด์ firefox์ ํ์ฅํ๋ก๊ทธ๋จ์ธ hack toolbar๋ผ๋ ๊ฒ์ ์ฌ์ฉํด๋ณด์๋ค.
๋ญ ์์ฒญ ๋๋จํ๊ฑด ์๋๊ณ ๊ทธ๋ฅ ๊ฐ๋จํ ์คํฌ๋ฆฝํธ ๊ฐ์ ๊ฒ์ ๋ง๋ค์ด ์ค๋ค๋๊น?
์์ฒญ๋ ์คํฌ๋ฆฝํธ๋ฅผ ๋ง๋ค์ด์ฃผ๋ ๊ฒ์ ์๋๋ค ๋ณด๋ ๊ทธ๋ฅ ์ฐธ๊ณ ๋ฅผ ํ๋ ๊ฑด ๋์์ง์๋ค๊ณ ์๊ฐํ๋ค.
๋ค๋ฅธ๋ด์ฉ์ด ์๋ค๋ฉด ์ถ๊ฐํด์ ๋๋ฆฌ๋๋กํ๊ฒ ์ต๋๋ค.
'Security Study > Web' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
HTTP Method ๊ด๋ จํ์ฌ ์์๊ฐ๋ ๊ฒ (0) | 2023.08.09 |
---|---|
[์น์ทจ์ฝ์ ] XSS ํ๋ค๋ณด๋... (0) | 2023.07.20 |
์ด์ฉ๋ค๋ณด๋ Stored XSS์ ๋ํ์ฌ... (0) | 2023.02.14 |
owasp zap tutorial :) (0) | 2016.12.27 |
web server ์ทจ์ฝ์ ์ค์บ๋ nikto :) (0) | 2016.12.21 |
๋๊ธ