삽질블로그
[Kali_Linux] Local File Inclusion ( SQLiteManager ) | bWAPP | Missing Functional Level Access Control 본문
카테고리 없음
[Kali_Linux] Local File Inclusion ( SQLiteManager ) | bWAPP | Missing Functional Level Access Control
삽질장인 2020. 9. 3. 21:21본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다.
1. Missing Functional Level Access Control
- OWASP Top 10 A7 - 기능 수준의 접근 통제 누락
- 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다.
- Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드
2. Local File Inclusion ( SQLiteManager )
- SQLiteManager에 파일 업로드 또는 스크립트를 인젝션하여 악의적인 프로그램 실행 및 정보를 획득하는 취약점이다.
3. Missing Funcional Level Access Control - Local File Inclusion ( SQLiteManager )
- 이 시나리오는 SQLite 관리자 페이지 'main.php', 'index.php' 취약점을 이용하여 XSS를 실행하는 내용이다.
==========================실습===================================
1) 첫 화면
2) SQLiteManager 접속 실시 (http://192.168.222.132/sqlite)
3) Test 클릭
4) Trigger 클릭 + 스크립트 인젝션 실시
5) 쿠키 정보 획득 확인
Comments