μƒˆμ†Œμ‹

인기 검색어

πŸ“  Secure

μ£Όμš”μ •λ³΄ν†΅μ‹ κΈ°λ°˜μ‹œμ„€ WEB-06 SSI μΈμ μ…˜

  • -
λ°˜μ‘ν˜•
WEB-06 SSI μΈμ μ…˜

- HTML λ¬Έμ„œ λ‚΄ μž…λ ₯받은 λ³€μˆ˜ 값을 μ„œλ²„μΈ‘μ—μ„œ μ²˜λ¦¬ν•  λ•Œ λΆ€μ μ ˆν•œ λͺ…령문이 포함 및 μ‹€ν–‰λ˜μ–΄ μ„œλ²„μ˜ 데이터가 μœ μΆœλ˜λŠ” 취약점

 

점검 및 νŒλ‹¨ κΈ°μ€€

- μ–‘ν˜Έ : μ‚¬μš©μž μž…λ ₯ 값에 λŒ€ν•œ 검증이 μ΄λ£¨μ–΄μ§€λŠ” 경우

- μ·¨μ•½ : μ‚¬μš©μž μž…λ ₯ 값에 λŒ€ν•œ 검증이 이루어지지 μ•ŠλŠ” 경우

 

쑰치 방법

- μ‚¬μš©μž μž…λ ₯ 값에 λŒ€ν•œ 검증 둜직 μΆ”κ°€ κ΅¬ν˜„

 

점검 방법

- 인수 값에 <!-- #echo var="DOCUMENT_ROOT" -->λ₯Ό μ‚½μž… ν•˜μ—¬ 전솑 ν›„ λ°˜ν•œλ˜λŠ” νŽ˜μ΄μ§€μ— μ‚¬μ΄νŠΈμ˜ ν™ˆ 디렉토리가 ν‘œμ‹œλ˜λŠ”μ§€ 확인

- 인수 값에 <!-- #exec cmd ="ls-al" -->λ₯Ό μ‚½μž…ν•˜μ—¬ 전솑 ν›„ λ°˜ν™˜λ˜λŠ” νŽ˜μ΄μ§€μ— λ””λ ‰ν† λ¦¬μ˜ 파일 λ¦¬μŠ€νŠΈκ°€ ν‘œμ‹œλ˜λŠ”μ§€ 확인

 

λ³΄μ•ˆ μ„€μ • 방법

- μ‚¬μš©μž μž…λ ₯으둜 μ‚¬μš© κ°€λŠ₯ν•œ λ¬Έμžλ“€μ„ μ •ν•΄λ†“λŠ”λ‹€

- 정해진 λ¬Έμžλ“€μ„ μ œμ™Έν•œ λ‚˜λ¨Έμ§€ λͺ¨λ“  λ¬Έμžλ“€μ„ 필터링

- 필터링 λŒ€μƒ : GET 질의 λ¬Έμžμ—΄, POST 데이터, μΏ ν‚€, URL 그리고 일반적으둜 λΈŒλΌμš°μ €μ™€ μ›Ή μ„œλ²„κ°€ μ£Όκ³ λ°›λŠ” λͺ¨λ“  데이터 포함

- μ›Ή μ„œλ²„μ˜ SSI κΈ°λŠ₯을 μ‚¬μš©ν•˜μ§€ μ•Šκ±°λ‚˜, μ›Ή 방화벽에 특수문자λ₯Ό ν•„ν„°λ§ν•˜λ„λ‘ λ£°μ…‹ 적용

λ°˜μ‘ν˜•
Contents

ν¬μŠ€νŒ… μ£Όμ†Œλ₯Ό λ³΅μ‚¬ν–ˆμŠ΅λ‹ˆλ‹€

이 글이 도움이 λ˜μ—ˆλ‹€λ©΄ 곡감 λΆ€νƒλ“œλ¦½λ‹ˆλ‹€.