정보보안(구버전)/ bWAPP 2019. 2. 16. 13:15

웹 해킹 bWAPP - 78. A5 - Security Misconfiguration - Old/Backup & Unreferenced Files

 

 

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 

 

1. Security Misconfiguration

 

 - OWASP Top10 A5 - 잘못된 보안 구성
 - 서버/시스템/DB/네트워크 장비/웹 설정 요류로 인하여 발생하는 취약점이다.
 - Ex) 디렉토리 리스팅, 에러페이지, 웹페이지 주석, 웹서버 기본 설정, Adobe Flash 취약점, DoS/DDos 공격,

         특정 서비스에 대한 Reverse_TCP 공격, 로컬 권한 취약점, 백업/임시/robots 파일


 

 

2. Old/Backup & Unreferenced Files

 

 - 백업 파일/참조 파일/디렉토리 이름이 추측하기 쉬운 단어이면 디렉토리 리스팅 취약점에 의해서 검색 및 접근이 가능하다.

 - 그렇기 때문에 검색엔진, 악성코드에 의한 접근에 의해서 쉽게 노출될 수 있다.

 

 

 

3. Security Misconfiguration - Old/Backup & Unreferenced Files

 

 - 이 시나리오는 추측하기 쉬운 이름으로 생성된 백업 파일 및 디렉토리를 검색하거나 접근하는 내용이다.

 

 

Ex1) Security Misconfiguration - Old/Backup & Unreferenced Files

 

 

보안 레벨 선택 및 시나리오 선택

 

 

 

GHDB를 사용할 예정

 

 

 

백업과 관련된 키워드 검색 실시

 

 

 

백업 관련 파일 확인

 

 

 

 

[참고] Exploit-DB 사이트

 

 - 제로 데이 이후 취약점 및 솔루션 내용이 올라오는 사이트

 - 사이트 주소 : https://www.exploit-db.com

 

 

Exploit-DB에서 제공하는 GHDB

 

 

 

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)

 

웹해킹 78. A5 - bWAPP Security Misconfiguration - Old&Backup & Unreferenced Files   https://youtu.be/tsBEpMfpKfg

저작자표시 비영리 변경금지

'정보보안(구버전) > bWAPP' 카테고리의 다른 글

웹 해킹 bWAPP - 80. A6 - Sensitive Data Exposure - Base64 Encoding(Secret)  (0) 2019.02.21
웹 해킹 bWAPP - 79. A5 - Security Misconfiguration - Robots File  (0) 2019.02.16
웹 해킹 bWAPP - 77. A5 - Security Misconfiguration - Man-in-the-Middle Attack(SMTP)  (0) 2019.02.16
웹 해킹 bWAPP - 76. A5 - Security Misconfiguration - Man-in-the-Middle Attack(HTTP)  (0) 2019.02.16
웹 해킹 bWAPP - 75. A5 - Security Misconfiguration - Local Privilege Escalation(udev)  (0) 2019.02.16
Posted by 김정우 강사(카카오톡 : kim10322)
,

티스토리툴바

Q