[웹해킹] 파일 업로드 공격이란?
- IT/웹해킹
- 2019. 11. 24.
파일 업로드 공격은 파일을 업로드 할 수 있는 페이지(게시판, SNS 등)에 악성 파일(웹쉘)을 업로드 하는 기법이다. 주로 웹쉘 이라고 하는 악성 파일을 업로드 하게 되는데 웹쉘이라는 것은 커맨드 인젝션 공격과 유사하게 웹을 통해 시스템 명령어를 실행할 수 있는 웹페이지이다.
다음 그림을 보자. 이미지를 업로드 하는 페이지가 있다. 해커는 이 때, 이미지 파일 대신에 웹쉘을 업로드 한다. 이를 막기 위해 웹 애플리케이션은 업로드 된 파일이 이미지 파일인지 검사해야 하는데 이를 제대로 하지 않으면 저장을 하게 된다.
이후 해커가 웹쉘에 접근하게 되면 웹쉘이 실행 된다. 이제 웹쉘을 통해 해커가 원하는 대로 시스템 명령어를 실행 할 수 있다.
'IT > 웹해킹' 카테고리의 다른 글
[웹해킹] DVWA를 이용한 파일 업로드 공격 실습 - Medium 단계 (0) | 2019.11.24 |
---|---|
[웹해킹] DVWA를 통한 파일 업로드 공격 실습 - LOW 단계 (0) | 2019.11.24 |
DVWA를 통한 커맨드인젝션 공격 실습 - High 단계 (0) | 2019.11.24 |
DVWA를 통한 커맨드인젝션 공격 실습 - Medium (0) | 2019.11.24 |
DVWA를 통한 커맨드인젝션 공격 실습 - Low 단계 (0) | 2019.11.24 |