삽질블로그
[Kali_Linux] Restrict Folder Access | bWAPP | Missing Functional Level Access Control 본문
[Kali_Linux] Restrict Folder Access | bWAPP | Missing Functional Level Access Control
삽질장인 2020. 9. 4. 14:07본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다.
1. Missing Functional Level Access Control
- OWASP Top 10 A7 - 기능 수준의 접근 통제 누락
- 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다.
- Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드
2. Restrict Folder Access
- 디렉토리 브라우징 또는 디렉토리 리스팅이라고 하며, 웹 서버의 디렉토리 목록이 노출되어 접근이 가능한 취약점이다.
- Linuux Apache와 Windows IIS에서 디렉토리 검색 기능이 활성화되어 있는 경우 취약점이 발생한다.
3. Missing Functional Level Access Control - Restrict Folder Access
- 이 시나리오는 웹-서버 디렉토리 검색 기능이 활성화 되어 있는 경우, 디렉토리 접근이 가능한 내용이다.
===============================실습===================================
1) 첫 화면
2) 'bWAPP_intro.pdf' 우클릭 -> '링크 주소 복사' 클릭 & 직접들어가도 된다.
3) 'documents' 디렉토리 접속 실시
4) 로컬PC -> 크롬 브라우저 -> 디렉토리 리스팅 취약점 검색 -> 검색 링크 클릭
디렉토리 리스팅 취약점 : intitle:"index of" intext":최신영화
5) 디렉토리 리스팅 취약점 확인