WEB HACKING

File Download 취약점

File Download 취약점? 웹 서버에 있는 파일을 Download 하는 기능이 있는 경우 다운로드 시 파일의 경로를 조작(Directory Traversal)을 통해서 내부에 데이터를 다운을 받을 수 있는 취약점이다. . . . OS 파악 파일 다운로드 취약점은 OS에 따라서 방법이 달라질 수가 있다. 경로를 조작을 하는데 사용되는 /(슬래시)는 윈도우에서는 \(역슬래시)로 대체가 가능하다. 이와 같은 점으로 인해서 os파악을 우선 해야한다. 서버의 os파악 같은 경우는 윈도우는 대/소문자를 구분하지 않지만 리눅스와 유닉스는 구분을 한다는 점으로 확인이 가능하다. 대문자로 파일명 변경 시 위와 같이 파일명을 대문자로 변경을 했을 때 해당 파일이 없는 경우 리눅스/ 유닉스 환경인 것을 알 수가 있다..