기능 수준의 접근 통제 누락이란 사용자가 애플리케이션 내에서 특정 기능이나 데이터를 접근할 때 적절한 권한 검사를 수행하지 않아서 발생하는 보안 취약점이다. 이는 권한이 없는 사용자가 관리자 기능이나 다른 사용자의 데이터를 접근하거나 수정할 수 있게 만드는 중요한 보안문제다.
디렉터리 리스팅은 웹 서버에서 특정 디렉터리에 대한 인덱스 파일(index.html 등)이 없을 때 서버가 해당 디렉터리 내의 모든 파일과 폴더 목록을 브라우저에 보여주는 현상을 말한다.
디렉터리 리스팅 방지 방법은 'httpd.conf' 또는 '.htaccess' 파일에서 디렉터리 리스팅을 비활성화 해준다. 그리고 각 디렉터리에 'index.html' 또는 'index.php'와 같은 인덱스 파일을 추가하여 디렉터리 목록이 표시되지 않도록 한다.
파일 삽입 취약점은 사용자가 웹 애플리케이션에서 허가되지 않은 파일을 업로드하거나, 허가되지 않은 파일을 서버에서 실행할 수 있는 경우를 말한다. 심각한 보안 문제를 초래할 수 있으며, 로컬 파일 포함(Local File Inclusion, LFI)과 원격 파일 포함(Remote File Inclusion, RFI) 두 가지 주요 유형으로 나눌 수 있다.
lang_en.php자리에 코드 삽입
파일 업로드 시 파일 타입, 확장자, 크기 등을 검증하여 허용된 파일만 업로드할 수 있도록 하고, 사용자가 입력한 파일 경로를 검증하여 상대 경로나 절대 경로 삽입 공격을 방지한다. 예를 들어, '..' 디렉터리 이동 패턴을 탐지하고 차단한다.
'Study records > Web hacking' 카테고리의 다른 글
| [Beebox] 크로스 사이트 요청 변조(비밀번호 변경/비밀번호 힌트 변경/계좌 이체) (0) | 2024.07.25 |
|---|---|
| [Beebox] 기능 수준의 접근 통제 누락(디바이스 접근 제한/서버 측 요청 변조) (0) | 2024.07.24 |
| [Beebox] 인코딩 복호화/HTML5 웹 저장소/중요 정보 텍스트 파일 저장 (0) | 2024.07.18 |
| [Beebox] 보안 설정 오류(구글해킹, Robots.txt, Webdav) (0) | 2024.07.18 |
| [Beebox] 취약한 직접 객체 참조(Insecure DOR) (0) | 2024.07.17 |
