이번 취약점은 취약점 중 가장 위험하다고 생각되는 파일 업로드 취약점입니다.
해당 취약점은 악성 컨텐츠 취약점과 비슷하게 MIME-TYPE과 확장자를 조작해서 서버 내에서 실행 가능한 형태로 저장되는지 확인하는 방식으로 취약점을 확인합니다. 이후에는 파일 경로를 확인하여 어디에 저장되는지 확인해서 웹쉘을 실행시킬 수 있습니다.
해당 취약점에 대한 진단 가이드는 아래와 같습니다.
이상입니다
'Penetration > WEB' 카테고리의 다른 글
| [주요정보통신기반시설] 24. 관리자 페이지 노출 (0) | 2023.10.25 |
|---|---|
| [주요정보통신기반시설] 23. 파일 다운로드 (0) | 2023.10.25 |
| [주요정보통신기반시설] 21. 프로세스 검증 누락 (0) | 2023.10.25 |
| [주요정보통신기반시설] 20. 자동화공격 (0) | 2023.10.25 |
| [주요정보통신기반시설] 19. 세션 고정 (0) | 2023.10.25 |
