전체 글 (16) 썸네일형 리스트형 Command Execution -Medium 이번에는 DVWA (Damn Vulnerable Web Application)에서 Command Execution 취약점을 Medium 보안 설정 상태에서 해킹하는 방법을 살펴보겠습니다. Low 단계에서 사용했던 방식은 통하지 않으며, 이에 따라 다른 방법을 시도해야 합니다. 기본 명령어 주입 방지 우회DVWA의 Command Execution 페이지에서 Medium 보안 설정으로 되어 있을 때, 소스 코드를 살펴보면 명령어 주입을 방지하기 위해 세미콜론(;)과 앰퍼샌드(&) 문자를 필터링하고 있음을 알 수 있습니다. 하지만, 우리는 여전히 이 필터를 우회할 수 있는 방법을 찾아야 합니다.필터링된 문자 확인:소스 코드 분석을 통해 ;와 & 문자가 필터링되고 있음을 확인했습니다.다른 방법으로 명령어를 주입.. Command Execution -Low 이번에는 DVWA (Damn Vulnerable Web Application)에서 Command Execution 취약점을 이용해보겠습니다. Low 보안 설정 상태에서 두 가지 방법으로 이 취약점을 공략할 것입니다.기본 명령어 주입DVWA의 Command Execution 페이지에 접근하면 IP 주소를 입력하라는 폼이 나타납니다. 이 폼은 입력된 IP 주소에 대해 ping 명령어를 실행하고 그 결과를 반환하도록 설계되었습니다.기본 명령어 주입:임의의 IP 주소를 입력합니다. 예를 들어 192.168.200.1을 입력하고 "Submit" 버튼을 클릭합니다.결과 창에 ping 명령어의 출력이 표시됩니다.이제 이 취약점을 악용해 다른 명령어를 실행해 보겠습니다.리눅스 명령어 주입:IP 주소 입력란에 127.0.. Owasp Juice Shop 이제는 오늘 부터 Owasp Juice Shop를 가지고 owasp를 가지고 연습을 할 예정이고 1. Injection : 인젝션2. Broken Authentication : 인증 취약점3. Sensitive Data Exposure : 민감한 데이터 노출4. XML External Entities (XXE) : XML 외부 개체5. Broken Access Control : 취약한 접근 통제6. Security Misconfiguration : 잘못된 보안 구성7. Cross-Site Scripting (Xss) : 크로스사이트 스크립팅8. Insecure Deserialization : 안전하지 않은 역 직렬화9. Using Components with Known Vulnerabilities : 알.. 이전 1 2 3 4 5 6 다음
