[주통기반] 공격 시나리오 정리(악성 콘텐츠)

안녕하세요 이번에는 주통기반 웹 모의해킹 중 10번에 해당되는 악성 콘텐츠를 설명하겠습니다.

진짜 간단한 문제이고 그..렇게 심한 문제가 발생하는 취약점일 가능성이 낮습니다.

 

 

 

- 악성 콘텐츠?

 

게시판이나 사이트 내에 악의적인 콘텐츠 삽입하고 실행하는 것을 말합니다.

 

조금.. 애매하죠! 얼핏 보면 XSS 공격처럼 자바스크립트 삽입 공격도 어떻게 보면 악성 콘텐츠 이고

악성 파일 exe 파일 같은 걸 올리는 것도 악성 콘텐츠 취약점이라고 불리기도 합니다!

 

그럼 어떻게 구별을 할 까요..?

.

.

.

.

.

.

확장자 제한을 안 할 때 악성 콘텐츠를 잡으면 됩니다.

 

프로필 사진을 올릴 때 jpg파일만 올라가야만 하는데 exe 파일이 올라가진다던가 다른 php파일이 올라간다던가

그럴 때 잡을 수 있습니다.

 

 

____________________________________

그런데 물론 올릴 수는 있는데 그걸 이용해 공격을 할 수 있는가? 라는 의심을 계속해야 합니다.

 

파일 업로드 취약점 같은 경우 파일 저장된 서버 혹은 디렉터리에 들어가서 악성 파일을 실행 시켰잖아요?

그럼 Pentest 해킹으로 이어질 수 있는 매우 위험한 취약점이긴 한데..

 

확장자 제한 없이 올릴 수 있는 곳에 exe 파일이나 php 파일 올렸다 해서 공격 시나리오가 가능한지 꼭 의심을 해야합니다.

 

만약 공격 시나리오가 없는데 그저 "기준이 그래요" 그러면 매우 큰일 납니다.

개발자 분들은 납득 없이 그저 기준 때문에 고치면 억울할 뿐더러 그걸 고치는 데 밤을 새기 때문입니다.

 

그래서 저희는 공격을 연구하고 공부하는 거죠!!

 

어쨌든 매우 짧은 글입니다. 악성 콘텐츠는 확장자 제한을 안 할때 잡습니다.

확장자 제한을 안 해서 파일 업로드가 자유롭다! 그럼 파일 업로드 취약점이죠.

 

그래서 악성 콘텐츠의 취약점은 조금 애매하지만 위험 요소는 될 수 있다는 것만 아시면 됩니다.

저는 잘 안 잡습니다

 

그렇다고 공부 안 하시면 안 됩니다!