- 같은 서버 내의 어떤 파일도 읽을 수 있는 취약점이다. - php 언어의 include 함수의 취약점을 이용한 공격이다. - 서버 내부 로컬의 파일을 실행하는 공격이어서 Local File Inclusion 이라고 불린다. - 외부 서버에 있는 파일을 가져와 공격 대상 서버에서 파일을 실행하는 공격이어서 Remote File Inclusion 이라고 불린다. - 웹 서버 애플리케이션 관련 WWW 디렉토리의 외부의 파일에 접근이 가능한 것이다. - /etc/passwd나 /etc/shadow와 같은 민감한 정보에도 접근 가능한 취약점이다. - 코드 실행 취약점과 비슷한 맥락으로 진행된다. [Linux] 웹 사이트 코드 실행 취약점 공격 [웹 사이트 해킹 / 코드 실행 취약점] [Linux] 웹 사이트 ..

- 웹 사이트의 취약점 중에서 가장 단순한 형태의 취약점이다. - 실행가능한 PHP 파일 셸을 업로드하여, 공격 대상 서버를 완전히 제어할 수 있다. - PHP가 아닌 다른 언어를 사용한다면, 그에 맞는 언어로 올려서 제어할 수도 있다. - 따라서, 대상에 대한 충분한 정보수집은 필수다. - 파일업로드 취약점 공격 테스트를 진행하기에 앞서, 해당 테스트를 진행하기에 알맞은 웹 애플리케이션을 소개한다. - DVWA라는 웹 어플리케이션으로 웹 사이트의 다양한 취약점을 구성해놓았다. - 취약점이 어떻게 이루어지는지 파악하고 공부할 수 있는 좋은 웹 애플리케이션이다. [Github : DVWA] GitHub - digininja/DVWA: Damn Vulnerable Web Application (DVWA) D..