📓 Codegear_Archive

Vulnerability: File Inclusion File Inclusion(파일 실행) 취약점은 공격자가 지정한 파일 내에 포함된 Server Side Script 코드를 실행하도록 하는 공격이다. 공격자의 파일이 웹 서버 내부에 있으면 내부파일실행(LFI, Local File Inclusion), 다른 서버에 위치하는 경우에는 외부파일실행(RFI, Remote File Inclusion)이라고 한다. 최근에는 PHP가 외부파일에 접근하는 것이 기본적으로 비활성화되어 있으므로 실제 서비스에서 RFI 취약점은 거의 발생하지 않는다. 개발자들의 인식이 확산되면서 LFI의 경우에도 흔하지는 않은 취약점이 되어가고 있다. LFI 취약점은 파일업로드(웹쉘업로드) 취약점에 비해서는 매우 드물게 발견된다고 한다..

File Upload 대응·우회 File Upload Vuln 파일 업로드 취약점은 공격자가 원하는 임의의 파일을 업로드할 수 있는 취약점이다. 업로드 가능하다고 끝이 아니고 해당 파일을 실행시킬 수 있어야한다. 그래서 업로드한 파일의 정확한 경로를 파악하는 것이 중요하다. ~~/~~/webshell.php?cmd= 웹 상에 파일이 위치한 경로를 알아야 위와 같이 명령어 파라미터를 넣어서 요청해 줄 수 있다는 것이다. 정확한 경로를 알지 못하여 파일을 업로드 했더라도 요청이 불가능하다면 무용지물이기 때문이다. 그래서 이를 숨기고, 경로를 알지 못하도록 파일의 경로를 알기 힘들게 해놓는 것은 물론 확장자는 그대로지만, 파일명을 바꾸어서 저장되는 경우가 일반적 (그대로 저장되는 경우가 많지 않다.) 이기 때..