MetaCODING

1. 파일 업로드 취약점 File Upload 웹 애플리케이션 개발/운영 환경에서 공격자가 실행 가능한 언어로 작성된 공격 프로그램(webshell)을 업로드한 후 원격으로 해당 파일에 접근하여 실행 시키는 취약점이다. 대상이 되고 있는 웹 애플리케이션 환경과 동일한 언어로 작성된 파일(webshell)을 업로드 하여 그 파일로 원격으로 실행(접근)이 되는가 점검한다. (거의 웹쉘을 업로드하는게 목표) [점검 방법] (1) 업로드 기능을 찾는다. (2) 업로드를 하는 확장자를 검증하는가? (하고 있다면 어떻게 하고 있는가?) (3) 대상의 웹 애플리케이션 환경을 파악하여 맞는 것을 삽입 (4) 동일한 언어의 파일을 업로드 후 실행 및 접근이 가능한지 점검한다. (서버 어딘가에 저장되어 있으니 유추하여 U..

XSS(Cross-Site Scripting) - OWASP 2021 항목에 인젝션과 포함됨 - 공격자가 원하는 구문이 클라이언트 영역에서 실행 - 악성 URL 유도 혹은 사용자의 인증값(세션/쿠키 등) 탈취에 활용 - 피해자의 권한을 악용하여 공격자가 원하는 행위를 수행(CSRF) - 클라이언트(사용자) 입장에서 입력할 수 있는, 입력하는 모든 값은 모두 진단 대상이 됨 - 내가 입력하는 구문(입력값) 스크립트를 웹사이트에 일시적/무기적으로 삽입되어 실행 가능하도록 함 XSS 취약점 외부의 공격자가 클라이언트 스크립트를 악용하여 웹사이트에 접속하려는 일반 사용자로 하여금 공격자가 의도한 명령이나 작업을 수행하도록 하는 공격이다. 공격자는 이 공격을 이용하여 악성 서버를 유도하거나 사용자 쿠키정보를 추출..