웹 모의해킹_3(DVWA를 활용한 Command Injection, Brute Force)

시큐리티지호 2026. 1. 5.

오늘은 Command Injection, Brute Force에 대해 정리하고 DVWA에서 low 단계에서 취약점을 실습 및 정리 해 봤습니다.

[발표 자료]

[39주차] 웹 모의해킹_3(CSRF, File Inclusion).pdf

*자세한 실습 내용은 발표 자료에 있습니다.

[4줄 요약]

1. CSRF는 Cross Site Request Forgery의 약자로, 서버 측의 취약점을 악용해서 실제 사용자의 의도와 무관하게 웹 애플리케이션에 공격자가 의도한 요청을 수행하도록 하는 공격입니다. CSRF는 서버가 인증된 사용자의 요청을 전적으로 신뢰한다는 점을 악용하는 공격입니다.

2. 대응방안

토큰 기반 인증을 사용합니다.
쿠키의 SameSite 속성을 Strict 혹은 Lax로 설정하여 외부 사이트에서 오는 요청에는 인증 쿠키가 첨부되지 않도록 제한합니다.
CAPTCHA를 활용합니다.
Referer, Origin 헤더 검증을 통해 사용자의 요청이 신뢰하는 도메인에서 온 경우만 요청을 허용합니다.

3. File Inclusion는 웹 애플리케이션에서 외부 파일 또는 내부 파일을 불러와 실행하거나 출력하는 기능을 의미합니다. LFI와 RFI가 있습니다.

4. 대응방안

apache2/php.ini에서 http(s) url을 직접 열지 못하게 설정합니다.
display_errors를 off로 진행해서 에러가 발생했을 때 보이지 않게 합니다.
파일명에 대한 화이트리스트 사용하여 허용된 파일만 include 가능하도록 설계합니다.
사용자 입력값 검증하여 특정 구조를 제한합니다.

오늘은 DVWA를 활용해서 CSRF, File Inclusion을 직접 실습해 보았습니다.

이를 통해 해당 용어의 개념과 그에 따른 대응방안을 정리할 수 있었습니다.

'시큐리티 > 리팩토링(Security)' 카테고리의 다른 글

웹 모의해킹_5(DVWA를 활용한 Weak Session IDs, XSS(DOM)) (0)	2026.01.05
웹 모의해킹_4(DVWA를 활용한 File Upload, Insecure CAPTCHA) (0)	2026.01.05
웹 모의해킹_2(DVWA를 활용한 Command Injection, Brute Force) (0)	2025.11.08
2025년 보안사고 (GS, SKT, 예스24) (0)	2025.11.06
웹 모의해킹 실습_1(Kali Linux에 DVWA 구축) (0)	2025.10.26

웹 모의해킹_3(DVWA를 활용한 Command Injection, Brute Force)

'시큐리티 > 리팩토링(Security)' 카테고리의 다른 글

댓글

티스토리툴바

웹 모의해킹_3(DVWA를 활용한 Command Injection, Brute Force)

'시큐리티 > 리팩토링(Security)' 카테고리의 다른 글

관련글

댓글

티스토리툴바