웹 모의해킹_4(DVWA를 활용한 File Upload, Insecure CAPTCHA)

오늘은 File Upload, Insecure CAPTCHA에 대해 실습하고 정리하여 발표를 진행했습니다.

 

[발표 자료]

[40주차] 웹 모의해킹_4(File Upload, Insecure CAPTCHA).pdf

1.81MB

 

*자세한 실습 내용은 발표 자료에 있습니다.

 

[4줄 요약]

 

1. File Upload 취약점은 홈페이지 게시판에 허용된 파일(이미지 등) 외 서버 사이드 스크립트 파일(PHP, JSP, ASP 등)이 업로드가 가능한 경우 공격자는 웹서버에서 스크립트를 실행시켜 임의의 파일을 업로드 해 웹 콘텐츠를 변조할 수 있습니다.

 

2. 대응방안

• PHP 위험 함수 비활성화(system, exec)
• 업로드 파일 실행 권한 제거 또는 최소화
• 화이트리스트 기반 정책 적용
• Egress 방화벽 정책 필수 적용
• 시스템 로그 무결성 모니터링

3. Insecure CAPTCHA는 CAPTCHA 인증을 우회하여 개인정보를 변경하거나 탈취하는 등의 공격 위험이 있는 취약점입니다.

 

4. 대응방안

• 요청 단계 단순화
• 추가 인증 구현