-
애플리케이션 보안 #8 파일 다운로드 취약점정보보안 2022. 12. 6. 17:48
게시판에서 발생 가능한 취약점
- 인증 처리 미흡(권한 탈취)
- XSS
- SQL Injection
- File Upload
- File Download
: 1) 다운로드시 입력값 검증 미흡
2) 디렉토리 접근 (ex. 주요 소스코드, DB연결정보, 유저정보, 설정파일 등)
ex) 관리자 페이지 : member.asp, list.asp, connection.asp, con.asp, conn.asp···
[Remote File Include/Local File Include]
bWAPP 문제풀이
RFI를 통해 구글 도메인 불러오기 
LFI로 password 파일 노출 
소스코드를 통한 취약점 분석 security level 2에서만 필터링이 적용됨
'정보보안' 카테고리의 다른 글
시스템/네트워크 보안 #1 정책 (0) 2022.12.12 애플리케이션 보안 #9 악성코드 (0) 2022.12.12 애플리케이션 보안 #7 파일 업로드 취약점 (0) 2022.12.05 애플리케이션 보안 #6-3 SQL Injection (0) 2022.12.05 애플리케이션 보안 #6-2 Blind SQL Injection (0) 2022.12.02