ahhyun98 님의 블로그

이번 실습은 DVWA 환경에서 File Upload 취약점을 활용하여 파일 검증이 부족한 상황에서 악성 파일을 업로드하는 위험성을 다뤘다. 실습은 Low 보안 단계에서 진행했으며, 업로드 기능이 어떻게 악용될 수 있는지를 확인해 보는 것이 목표였다.1. File Upload 공격이란? 파일 업로드 취약점 (File Upload Vulnerability)은 공격자가 웹 서버에 악성 스크립트(.php, .jsp 등)를 업로드 한 뒤 실행하여 서버를 제어하거나 내부 정보를 탈취하는 공격이다.업로드된 악성 파일은 웹 서버에서 곧바로 실행될 수 있고, 이를 통해 웹쉘 업로드, 리버스 쉘 획득, 추가 공격 확장이 가능하다.=> 특히 File Inclusion(파일 포함) 취약점과 함께 사용될 경우, 단순 이미지나 ..

이번 실습은 DVWA 환경에서 File Inclusion(파일 포함) 취약점을 활용하여 시스템 내부 파일을 노출시키고, 리버스 쉘을 획득하는 공격 시나리오를 다뤘다. 단순히 민감한 파일 (ex- ../../../etc/passwd)을 여는 것이 아닌, 실제 시스템 장악까지 이어지는 자동화 실습이 핵심이었다. 1. File Inclusion이란? File Inclusion 취약점은 공격자가 서버에서 include() 또는 require() 함수 등으로 불러오는 파일 경로를 조작하여, 서버 내부 파일을 읽거나 원격 파일을 실행하게 하는 공격이다. 크게 두 가지로 나뉜다.LFI (Local File Inclusion) : 로컬 시스템의 파일을 읽는 방식 (../../../etc/passwd 등)RFI (Re..