정보보안(구버전)/ bWAPP 2019. 2. 16. 13:15
웹 해킹 bWAPP - 78. A5 - Security Misconfiguration - Old/Backup & Unreferenced Files
본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다.
1. Security Misconfiguration
- OWASP Top10 A5 - 잘못된 보안 구성
- 서버/시스템/DB/네트워크 장비/웹 설정 요류로 인하여 발생하는 취약점이다.
- Ex) 디렉토리 리스팅, 에러페이지, 웹페이지 주석, 웹서버 기본 설정, Adobe Flash 취약점, DoS/DDos 공격,
특정 서비스에 대한 Reverse_TCP 공격, 로컬 권한 취약점, 백업/임시/robots 파일
2. Old/Backup & Unreferenced Files
- 백업 파일/참조 파일/디렉토리 이름이 추측하기 쉬운 단어이면 디렉토리 리스팅 취약점에 의해서 검색 및 접근이 가능하다.
- 그렇기 때문에 검색엔진, 악성코드에 의한 접근에 의해서 쉽게 노출될 수 있다.
3. Security Misconfiguration - Old/Backup & Unreferenced Files
- 이 시나리오는 추측하기 쉬운 이름으로 생성된 백업 파일 및 디렉토리를 검색하거나 접근하는 내용이다.
Ex1) Security Misconfiguration - Old/Backup & Unreferenced Files
보안 레벨 선택 및 시나리오 선택
GHDB를 사용할 예정
백업과 관련된 키워드 검색 실시
백업 관련 파일 확인
[참고] Exploit-DB 사이트
- 제로 데이 이후 취약점 및 솔루션 내용이 올라오는 사이트
- 사이트 주소 : https://www.exploit-db.com
Exploit-DB에서 제공하는 GHDB
[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)
웹해킹 78. A5 - bWAPP Security Misconfiguration - Old&Backup & Unreferenced Files https://youtu.be/tsBEpMfpKfg