[모의해킹 실습] 파일 다운로드 취약 페이지 구현 및 공격 실습

파일다운로드 취약점은 공격자가 파일 다운로드 기능을 이용하여 웹 사이트에 포함된 주요 파일을 다운로드 할 수 있는 취약점입니다. 이는 파일을 다운받는 기능이 포함된 페이지에서 입력되는 경로를 검증하지 않는 경우 임의의 문자나 주요 파일 명을 입력하여 웹 서버의 홈 디렉터리를 벗어나 임의의 위치에 있는 파일을 열람하거나 다운받을 수 있습니다. 1. 공격 원리 파일 다운로드 취약점은 다음의 경우에 발생합니다. No. 원인 상세 1 파일 경로와 파일명 노출 파일 다운로드 시 해당 파일의 상대경로 또는 절대경로를 사용하는 경우 다운로드 모듈이 파일의 경로나 이름을 파라미터로 사용하는 경우 2 파일 경로와 파일명 필터링 부족 ../(상위 디렉터리)를 이용한 Web Root 상위 디렉터리 접근이 가능한 경우 파라미..