Notice
Recent Posts
Recent Comments
끄적끄적
File Upload 본문
※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요.
File Upload
정의
- 파일 업로드 기능을 악용하여 웹 서버에 악성파일을 업로드 하고, 이를 통해 공격
- 웹 서버에 웹쉘을 업로드 하기 위한 용도로 많이 사용됨
Web Shell
- 공격을 목적으로 제작된 웹 기반의 Shell 프로그램
- 단순한 명령어 실행부터 파일 컨트롤, 리버스 커넥션까지 OS의 거의 모든 기능 수행
방어
- 파일 확장자 검사
- 업로드 대상 파일의 확장자 검사해서 실행가능 스크립트 ( php, jsp, asp, shtml 등)의 업로드 차단
- shell.pHp
- shell.jpg.php
- shell.php%00.jpg
- shell.jpg;.php
- 업로드 파일을 원본 파일명이 아닌 확장자가 없는 임의의 파일명으로 저장
- 파일 업로드 폴더에 실행권한 제거
- 업로드 파일은 웹 서버 폴더가 아닌 다른 경로에 저장
- 업로드 된 파일의 절대 경로가 노출되지 않아야 함
- 업로드 된 파일은 전용 다운로더로 다운되도록 해야 함
'해킹' 카테고리의 다른 글
Command Injection / Execution (0) | 2016.02.26 |
---|---|
File Inclusion (0) | 2016.02.26 |
SQL Injection (0) | 2016.02.26 |
CSRF ( Cross Site Request Forgery ) (0) | 2016.02.26 |
XSS ( Cross Site Scripting ) (0) | 2016.02.26 |
Comments