File Upload Vulnerability이란?파일 업로드 기능이 존재하는 웹 애플리케이션에서 파일 업로드 시 파일의 확장자 검증 미흡, 업로드 파일의 경로 노출, 파일 실행권한 제한을 하지 않음 등과 같은 부재로 인해 파일 업로드 과정에서 발생할 수 있는 취약점입니다.아래와 같은 방법으로 공격이 가능합니다.파일 이름에 메타 문자를 사용하여 상위 디렉터리에 파일 저장 (Path Traversal)웹 쉘 띄우기클라이언트 사이드 취약점으로 연결Path Traversal../과 같은 메타 문자를 파일 이름에 사용하여 상위 디렉터리에 파일을 업로드할 수 있습니다.$file_path="../files/".$file_name; 위와 같은 코드로 작성된 업로드 기능에 ../index.php 를 입력할 경우../f..

SQL Injection이란?SQL injection이란 관계형 DBMS에서 사용하는 질의 구문인 SQL을 삽입하는 공격입니다. 여기서 DBMS란 DataBase Management System의 약자로 데이터베이스를 관리하는 애플리케이션을 말합니다. 이 DBMS는 테이블 형식으로 데이터가 저장되는 관계형 DBMS와 키-값 형태로 데이터가 저장되는 비관계형 DBMS가 있습니다. 이번 포스팅에서 다루게 될 SQL Injection은 관계형 DBMS인 RDBMS에서 사용되는 공격으로 공격 발생 시 조작된 쿼리로 인증을 우회하거나, 데이터베이스의 정보를 유출할 수 있는 해킹 기법입니다.SQL Injection은 공격 방법에 따라 여러 종류가 존재합니다.이번 포스팅에서는 아래의 4가지 종류의 SQL Inject..

XSS(Cross Site Scripting)란?공격자에 의해 작성된 스크립트가 다른 사용자에게 전달되는 것으로 이용자를 식별하기 위한 세션 및 쿠키 정보를 탈취하여 임의의 기능을 실행할 수 있는 해킹기법→ Cross Site Scripting의 약자인 CSS는 이미 스타일시트 언어인 Cascading Style Sheets의 약자로 사용되기 때문에 XSS를 사용 이러한 XSS는 발생 형태에 따라서 아래와 같이 다양한 종류로 구분됩니다.Stored XSS : XSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSSReflected XSS : XSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSSDOM-based XSS : XSS에 사용되는 악성 스크립트가..