Notice
Recent Posts
Recent Comments
끄적끄적
File Inclusion 본문
※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요.
File Inclusion
정의
- 공격자가 웹 어플리케이션에 자신의 파일(또는 코드)을 삽입하는 공격
- Server Side 공격 기법
File Upload와 차이점
- 직접 파일을 업로드하지 않아도 외부 url을 입력해서 다른 서버에 있는 공격코드를 삽입할 수 있다.
공격 목적
- 권한 밖의 데이터 열람 ( /etc/passwd )
- 시스템 내부 명령 실행 ( ls, halt )
- 악성코드 유포
공격 방법
- 취약하게 개발된 웹 페이지의 변수를 조작해 해커가 원하는 내용(파일, 코드 등)을 웹 페이지 내에 포함
- 검증되지 않은 사용자 입력 정보 ( url, parameter 등 )를 include, require 함수의 인자로 사용될 때 발생
- 사용자가 권한 밖의 파일, 서버 외부( allow_url_include 설정을 켠 경우에만 )의 악성코드 등을 페이지에 포함시켜 열람 할 수 있음
include / require 함수
- 스크립트 언어를 통한 웹 페이지 개발 시 편의를 위해 웹 페이지에 서버 내/외부의 파일을 불러올 때 사용됨
- Header, footer와 같이 페이지 내에 일률적으로 포함되는 내용에 자주 사용됨
'해킹' 카테고리의 다른 글
DRDoS ( 분산 반사 서비스 거부 공격 ) (0) | 2016.04.10 |
---|---|
Command Injection / Execution (0) | 2016.02.26 |
File Upload (0) | 2016.02.26 |
SQL Injection (0) | 2016.02.26 |
CSRF ( Cross Site Request Forgery ) (0) | 2016.02.26 |
Comments