정보보안 Study

■ 개요 - 개발 과정 또는 소스 코드를 수정하였을 경우 백업 파일, 로그 파일, 압축 파일, 테스트 파일과 같은 파일이 자동적으로 생성되어 웹 어플리케이션 상에 노출될 경우 공격자가 유추 후 직접 접근을 요청하여 핵심정보를 획득할 수 있는 취약점 - 웹 취약점 진단 과정에서 주로 Burp suite Pro, Owasp-zap, Dirbuster, Acunetix 등과 같은 자동화 도구를 사용하여 점검 진행 - 주요정보통신기반시설 취약점 진단 기준으로 26. 위치 공개에 해당 - OWASP TOP 10 2021 A01. Broken Access Control에 해당 ■ 위치 공개 CheckList - 웹 루트 디렉토리 내 웹 서비스에 불필요한 확장자(.bak, .backup, .org, .old, .zi..

■ 실습 환경- metasploit2에서 진행 ■ PHP CGI 취약점- PHP 5.4.2 이전의 5.3.12, 5.4.x 버전에서 취약- sapi/cgi/cgi_main.c에서 CGI 스크립트가 질의 문자열을 제대로 처리하지 못해 발생- 해당 취약점을 이용하여 시스템의 중요 파일 다운로드 또는 웹쉘 업로드 등이 가능- 주요정보통신기반시설 취약점 분석평가 中 4. 운영체제 명령 실행에 해당- 공격자는 정보수집(정찰) 과정을 통해 획득한 정보로 초기 진입(Initial Access)을 진행하는 사례로, 시스템 보안 결함을 이용하여 공격을 진행(Exploit Public-Facing Application)하는 방식으로 침투 진행- OWASP TOP 10 2021 中 A6. Vulnerab..