http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=1834 [º¹»ç]
WEB HACKING GO!~
1.File upload Vulnerability
»ç¿ëÀÚ°¡ file upload ½Ã ÇØ´ç À¥ ¼¹öÀÇ ÇÁ·Î±×·¥°ú µ¿ÀÏÇÑ È®ÀåÀÚ¸¦ °®´Â file À» upload ÇÒ ¼ö ÀÖ´Ù¸é system »óÀÇ shell À» ÀÌ¿ëÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
<°ø°Ý¼ø¼>
1)À¥ ¼¹ö °Ô½ÃÆÇ Áß ÆÄÀÏ ¾÷·Îµå °¡´ÉÇÑÁö È®ÀÎÇÑ´Ù.
2)CGI È®ÀåÀÚ¸¦ ÇÊÅ͸µ ÇÏÁö ¾Ê´Â °Ô½ÃÆÇÀÎÁö È®ÀÎÇÑ´Ù. (¿ìȸ ¹æ¹ý Á¸Àç)
3)±âº» ÀûÀ¸·Î »çÁø 1ÀåÀ» ¿Ã·Á ¼Ó¼ºÀ» º¸°í ÆÄÀÏ upload Æú´õÀÇ °æ·Î¸¦ È®ÀÎÇÑ´Ù.
4)¾÷·Îµå µÈ À¥ ½©ÀÇ °æ·Î·Î °¡¼ ½ÇÇà
<°ø°Ý³»¿ë>
À¥ÆäÀÌÁö cgi ÆÄÀÏ (php, asp, jsp) ¾÷·Îµå°¡ °¡´ÉÇÑ ÀÚ·á½Ç¿¡¼ À¥ ½©À» ¿Ã·Á À¥ ¼¹ö¿¡ ÀÓÀÇÀÇ ¸í·ÉÀ» ÅëÇØ À¥ ±¸Á¶¸¦ ÆľÇÇÒ¼öµµ ÀÖ°í À¥ ÆäÀÌÁö¸¦ Áö¿ï ¼öµµ ÀÖÀ¸¸ç ±× ¿ÜÀÇ ¿Â°® Áþ°Å¸®¸¦ ´Ù ÇÒ ¼ö ÀÖ´Ù.
±×·±µ¥ À¥ ÆäÀÌÁö cgi ÆÄÀÏ ¿Ã¸± ¼ö ¾øµµ·Ï ¸·¾Æ µÐ ¹æ¹ýÀÌ ´ÜÁö ÆÄÀÏÀ» ¾÷·Îµå ÇÒ¶§ Æ˾÷ â¿¡¼ Á¤ÇØÁø È®ÀåÀÚ ÀÌ¿Ü¿¡´Â º¸ÀÌÁö ¾Ê°ÔÇؼ ¿î¿µÇÏ´Â °÷ÀÌ ÀÖ´Ù. ±×·²°æ¿ì¿£ ÆÄÀÏÀÇ À̸§À» Á÷Á¢ Àû¾î¼ ¾÷·Îµå ÇÒ¼öÀÖ´Ù. ´Ù¸¥¹æ¹ýÀ¸·Î´Â .htaccess(¾ÆÆÄÄ¡ ȯ°æ¼³Á¤ ÆÄÀÏ) ÆÄÀÏÀÇ ³»¿ëÀ» ¾Æ·¡¿Í °°ÀÌ ¼öÁ¤Çؼ ¸ÕÀú ¾÷·Îµå ÇÑ ÈÄ¿¡ À¥½©À» ¾÷·Îµå ÇÑ´Ù.
"AddType application/x-httpd-php .php .php3 .inc .zip
(.zipÆÄÀÏÀ» phpÆÄÀÏ·Î ÀνÄÇؼ ½ÇÇàÀÌ °¡´ÉÇÏ°Ô µË´Ï´Ù.)
|
Hit : 8954 Date : 2011/08/03 01:53
|