웹 서버3 [웹 해킹] Dreamhack web-ssrf(Level 2) #263 1. 개요 워게임 명 : ssrf-1 난이도 : Level 2 관련 개념 : Javascript, Python, Html, CSS, SSRF 문제 : SSRF 취약점을 이용하여 Flag 획득 SSRF란? 공격자가 악의적인 스크립트를 삽입하여 서버가 접근할 수 없는 내부 자원을 접근하도록 만드는 공격입니다. 해당 공격이 성공하면 공격자는 내부 정보를 탈취하거나 조작할 수 있습니다. SSRF 강의에 포함된 워게임입니다. 2. 소스 코드 확인 1) HTML 1-1) base.html 가장 기본 페이지이며, Home, About, Contact 메뉴가 있을 것으로 보입니다. 1-2) index.html 인덱스 페이지이며, 이미지 뷰어 기능에 대한 링크가 삽입되어 있습니다. 1-3) img_viewer... 2023. 8. 16. [웹 서버 보안]디렉토리 리스팅(Directory Listing) 취약점 조치하기 #220 1. 디렉토리 리스팅(Directory Listing)이란? 웹 서버의 특정경로에 있는 파일들을 웹 서비스를 통해 디렉토리 형식으로 볼 수 있는 것을 말합니다. 아래처럼 실제 파일을 열어볼 수도 있고 다운로드도 할 수 있습니다. 2. 디렉토리 리스팅 취약점 그렇다면 디렉토리 리스팅의 취약점은 무엇일까요? 바로 의도치 않게 서버에 있는 자료가 노출될 수 있습니다. 공개되지 않아야할 자료가 노출되어 문제가 될 수 있고 소스코드가 유출되어 공격자로부터 해킹을 당할 수 있습니다. 그럼 자주 이용하는 Apache와 Tomcat에서 디렉토리 리스팅 취약점이 있을 때의 모습을 살펴보도록 하겠습니다. 1) Apache Apache 웹 서버를 동작시키고 특정 소스를 배포하였습니다. Apache의 경우 Defau.. 2022. 6. 2. Apache Web서버 웹 서비스 테스트 #41 지난 포스팅에서 리눅스(CentOS7)에 Apache Web 서버를 설치하였습니다. 이번에는 간단한 작업이지만 Apache Web서버를 통한 웹 서비스를 하기위해 서비스가 정상적으로 동작하는지 테스트를 해보려고 합니다. 1. Apache Web서버 서비스 확인 지난 시간에 설치하면서 구동한 서비스가 잘 떠있는지 확인해보도록 하겠습니다. 2. 테스트 페이지에서 내용 확인 위의 테스트 페이지에서 잘 들여다봐야할 부분이 있습니다. 바로 아래의 빨간 부분인데요. 만약 컨텐츠를 추가하고 싶다면 /var/www/html/ 경로에 추가하라고 합니다. 또한, 현재 페이지는 /etc/httpd/conf.d/welcome.conf에 설정되어있는 경로이며, 이 부분의 안내를 따르라고 합니다. 설명대로 따라가보도록 하.. 2020. 3. 3. 이전 1 다음
