파일 인클루션 공격

16 Oct 2021 Security & Hacking

파일 인클루션 공격

  • 주로 PHP 서버에서 공격 쉬움
    • 해커가 조작한 파일을 PHP include() 함수로 소스코드에 삽입할 수 있음
  • 종류
    • LFI(로컬파일인클루션)
      • 이미 로컬 시스템에 존재하는 파일을 인클루드
    • RFI(리모트파일인클루션)
      • 외부에 있는 파일을 원격으로 인클루드(더강력)
  • 프로세스 예시
    1. 정상적일때 WAS 는 include(file.php) 하고 있음. 사용자에게 file.php 화면 보여줌
    2. 해커가 자기 서버를 구축한 후 http://hacker.com/bad.php 를 인클루드할 것을 지정
    3. WAS 가 입력값을 검사하지 않으면 hacker.com 서버로부터 bad.php 파일을 받아와서 사용자에게 뿌림(include(bad.php))
 보안  해킹

Comments