오늘 공부해볼 내용은 Path traversal입니다.
Server-Side vulnerabilities의 일종으로 Portswigger Web Security Academy의 내용을 정리하고 문제를 해결하였습니다.
Path traversal이란
공격자가 경로조작을 통해서 임의의 파일 혹은 시스템 중요파일에 접근할 수 있는 취약점입니다.
취약한 사이트에 접근하면 아래와 같은 사이트에 접속할 수 있습니다.
이후 개발자 도구를 이용하여 각 이미지 파일들의 경로를 확인합니다.
이제 새 탭에서 이미지에 대한 경로를 확인해보겠습니다. 확인해보면 image?filename=5.jpg와 같은 형태로 파일을 열고 있습니다.
따라서 이때 경로 조작을 통해서 시스템 중요파일을 열람하려고 합니다. 열람 시도시 깨진 이미지 파일 외에는 확인해볼 수 없습니다.
웹 프록시 도구를 이용하여 확인하면 아래와같이 확인해 볼 수 있습니다.
이후 문제가 해결된 것을 확인할 수 있습니다.
'Wargame & CTF' 카테고리의 다른 글
| [Dreamhack] 새싹 문제들 (0) | 2023.12.31 |
|---|---|
| [Portswigger] Access Control (0) | 2023.12.29 |
| [Dreamhack] Addition calculator (1) | 2023.12.21 |
| [Webhacking.kr] 1,3,14,15,17번 (1) | 2023.12.21 |
| [Dreamhack] baby-union (0) | 2023.12.20 |
