정보보안(구버전)/ bWAPP 2019. 2. 22. 21:21
웹 해킹 bWAPP - 96. A7 - Missing Functional Level Access Control - Restrict Folder Access
본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다.
1. Missing Functional Level Access Control
- OWASP Top10 A7 - 기능 수준의 접근 통제 누락
- 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을때 중요 자원 접근이 가능한 취약점이다.
- Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드
2. Restrict Folder Access
- 디렉토리 브라우징 또는 디렉토리 리스팅이라고 하며, 웹 서버의 디렉토리 목록이 노출되어 접근이 가능한 취약점이다.
- Linux Apache와 Windows IIS에서 디렉토리 검색 기능이 활성화되어 있는 경우 취약점이 발생한다.
3. Missing Functional Level Access Control - Restrict Folder Access
- 이 시나리오는 웹-서버 디렉토리 검색 기능이 활성화 되어 있는 경우, 디렉토리 접근이 가능한 내용이다.
Ex1) Missing Functional Level Access Control - Restrict Folder Access 이해 I
보안 레벨 선택 및 시나리오 선택
'bWAPP_intro.pdf' 우클릭 -> '링크 주소 복사(A)' 클릭 -> 'Logout' 클릭
96-0. 링크 주소 복사-1.txt복사한 'bWAPP_intro.pdp' 링크 주소 입력 및 접속 실시
'documents' 디렉토리 접속 실시
Ex2) Missing Functional Level Access Control - Restrict Folder Access 이해 II
로컬 PC -> 크롬 브라우저 -> 디렉토리 리스팅 취약점 검색 -> 검색 링크 클릭
디렉토리 리스팅 취약점 확인
[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)
웹해킹 96. A7 - bWAPP Missing Functional Level Access Control - Restrict Folder Access
