Information Security

웹쉘(Web shell) 파일 업로드 기능을 이용하여 시스템에 명령을 내릴 수 있는 웹 프로그램을 업로드 할 수 있는 취약점으로, 간단한 서버 스크립트 (jsp,php,asp)로 만드는 방법이 널리 사용되며 파일 업로드 시 확장자에 대한 검증을 제대로 하지 않게 되면 이 스크립트로 만든 파일이 업로드 되는 것이다. 웹쉘 설치 시 해커들은 보안 시스템을 피하여 별도의 인증 없이 시스템에 쉽게 접속이 가능하므로 위험하다. 즉, 공격자가 조작한 Server Site Script 파일을 업로드하고, 서버상에 저장된 경로를 유추하여 파일을 실행, 쉘을 획득할 수 있게 되며 쉘 권한을 획득한 후에 시스템 명령어를 홈페이지를 통하여 실행하고 그 결과값을 보며 시스템 관리자 권한을 획득 또는 인접 서버에 침입을 시도할..

CSRF란? Cross - Site Request Forgery : 교차 사이트 요청 위조 라고 할 수 있다 특정 사용자를 대상으로 하지 않고 불특정 다수를 대상으로 로그인된 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정,삭제,등록,송금 등)를 하게 만드는 공격기법. CSRF는 기본적으로 XSS (Cross Site Script) 공격과 매우 유사하다. XSS 공격의 발전된(변종된) 형태로 보기도 한다. 둘의 차이점은 XSS 공격은 악성 스크립트가 클라이언트에서 실행되는 반면에 CSRF 공격은 사용자가 악성 스크립트를 서버에 요청한다는 차이가 있다, 즉 XSS는 script를 이용한 공격을 할 수 있고 CSRF는 HTML을 이용한 공격이라고 할 수 있다. 일반적으로 CSRF 공격이 성공하려..