본문 바로가기

iframe 삽입

Fileupload 취약점 이용하여 공격하기 (Webshell) Fileupload 취약점 이용하여 공격하기 (Webshell) 파일 업로드 취약점 이용하여 웹셀을 삽입해, 제어권을 가져오는 방법에 대해 소개 하겠습니다. Fileupload 취약점 이용하여 공격하기 (Webshell) 1. 일반 계저정으로 로그인후 게시판에 접근합니다. 2. 홈페이지 게시판에 웹셀을 업로드하여 삽입합니다. 서버측에서 방어를 위해 확장자 검증을 한다면, 우회하여 업로드 하도록 합니다. *웹서버는 확장자별 실행유무를 주기 때문에 php, asp와 같은 웹 서버용 파일은 업로드를 Java를 통해 막고 있습니다. 로컬 프록시를 통해 php, asp와 같은 웹 서버용 파일 업로드 우회하기 paros를 통해 확장자를 기존 txt라고 하여 업로드할때 response 체크로 보내는 데이터를 잡습니다.. 더보기
최근 홈페이지 해킹 기법 자료 최근 홈페이지 해킹 기법 자료 더보기
HTML 태그를 이용한 침입과 대응 HTML 태그를 이용한 침입과 대응 최근 웹 공격의 화두는 SQL Injection이나 Cross Site Scripting(XSS)이었다. 그러나 얼마 전 잠시 이슈가 되었던 OO보드 취약점은 iframe을 통해 정상적인 관리자의 권한을 이용하는 공격이었다. 이는 iframe이나 IMG html tag를 게시판이나 혹은 제목에 쓸 수 있도록 한 것이 그 원인으로 작용했다. 문득‘iframe이나 IMG html tag를 이용하도록 허용하는 것이 과연 큰 문제를 일으킬 수 있을까?’라는 의문이 생길 수 있다. 물론 대부분의 경우 이를 허용한다고 해서 반드시 문제를 야기하는 것은 아니다. 그러나 보안상의 위협이 될 잠재적인 결함이 존재하는 것은 틀림없는 사실이므로 이를 해결하는 데 적잖은 관심을 기울여야 한.. 더보기