IT

File Download 취약점

File Download 취약점 파일 다운로드 기능 사용 시 경로 및 파일명을 파라미터로 받아 처리하는 경우 임의의 위치에 있는 파일에 접근하여 다운로드 할 수 있는 취약점 파일 다운로드 취약점은 Path Traversal과 비슷하다. 2022.04.04 - [IT/개념] - Path Traversal(Directory Traversal) Path Traversal(Directory Traversal) Path(Directory) Traversal 사용자가 입력값을 조정하여 허용되지 않은 경로에 접근하거나 파일을 볼 수 있는 방법 경로 탐색 취약점이라고도 불린다. 이 방법은 Path 방식으로 파일 및 디렉토리를 관리 29223.tistory.com Path Traversal은 허가되지 않은 디렉토리 파일..

Path Traversal(Directory Traversal)

Path(Directory) Traversal 사용자가 입력값을 조정하여 허용되지 않은 경로에 접근하거나 파일을 볼 수 있는 방법 경로 탐색 취약점이라고도 불린다. 이 방법은 Path 방식으로 파일 및 디렉토리를 관리하는 서버에서 사용할 수 있는 방법이다. File을 처리하는 과정에서 많이 발생하며 파일 이름 등을 사용자로부터 입력받는 서버에서 사용자가 ../과 같은 디렉토리 이동 명령어를 이용해 상위 디렉토리로 접근하거나 허용 디렉토리의 범위를 벗어난 파일을 읽을 수 있다. 이러한 Path Traversal의 예시로는 다음 글과 같이 사용자로부터 입력받은 값을 이용해 어떤 경로에 접근하는 경우 사용자가 디렉토리 이동 코드 등을 사용하면 다른 디렉토리로 접근하여 정보를 볼 수 있다는 것을 알 수 있다. ..

쿠키(Cookie)란?

쿠키 사용자가 어떠한 웹사이트를 방문할 경우 그 사이트가 사용하고 있는 서버를 통해 인터넷 사용자의 컴퓨터에 설치되는 작은 기록 정보 파일 쿠키는 사용자가 같은 웹 사이트에 방문할 때 마다 읽히고 새로운 정보로 업데이트 된다. 웹사이트는 쿠키를 통해 사용자를 인식하고 사용자의 설정, 과거 행동들을 기억한다. 쿠키는 사용자 측에 저장되기 때문에 서버에 부담을 주지 않으면서 사용자에 대한 정보를 기억할 수 있다는 장점이 있다. 쿠키는 소프트웨어가 아니다. 쿠키는 컴퓨터에서 실행될 수 없으므로 바이러스를 옮기거나 무언가를 설치할 수도 없다. 또한 쿠키는 시작한 서버에서만 접근할 수 있기 때문에 다른 서버는 볼 수 없다. 그렇다면 쿠키는 안전한가? 그렇지 않다. 쿠키에도 보안 문제점이 있다. 쿠키에는 사용자에 ..

와이어 샤크(Wireshark) 칼럼 추가 하는 법

와이어 샤크에서 캡처한 패킷들의 특정 정보들을 보고 싶다면 새로운 칼럼을 만들면 된다. 우선 위와 같이 Edit > Preferences로 들어간다. 이후 Columns 탭에 들어가서 하단의 + 버튼을 통해 새로운 칼럼을 만들 수 있다. (지금의 경우 Port라는 이름으로 목적지의 포트 번호 칼럼을 생성) 확인을 누르면 Port라는 이름의 목적지 포트 번호 칼럼이 생성된 것을 볼 수 있다. 만약 칼럼을 지우고 싶다면 칼럼에 마우스 우클릭 > Remove this Column을 통해 삭제할 수 있다.