인프런 커뮤니티 질문&답변

최경호님의 프로필 이미지
최경호

작성한 질문수

모의해킹 실무자가 알려주는, 파일 업로드 취약점 공격 기법과 실무 사례 분석 : PART 1

[실습4-22] 파일 업로드 취약점 공격 실습-5

파일 업로드 경로 변경 질문드립니다.

작성

·

512

1

첨부된 사진과 같은 패킷에서는 업로드 경로 변경이 불가능한가요? 실무사례 10번처럼 구분자가 따로 존재하지도 않아서.. 어떤 방법이 있을까요? 업로드 경로 변경에 대한 실무 사례 강의가 더 많이 있었으면 좋겠습니다.

답변 4

1

최경호님의 프로필 이미지
최경호
질문자

넵 맞습니다. 감사합니다^^

1

크리핵티브님의 프로필 이미지
크리핵티브
지식공유자

1. JEUSMain.xml 설정 파일명을 바꾸는 것은 할 수 없는 것으로 알고 있고, 굳이 그렇게까지 해서 운영할 필요가 없다고 봅니다 ㅎㅎ WAS의 설정 파일명이 제각각이 되어 버리면 개발자, 엔지니어들이 작업할때 불편을 초래하기 때문에 설정파일명을 변경할 수 있는 기능은 있을 것 같지 않습니다.그리고 JEUSMain.xml은 노드별로 따로 분류가 되어있죠. config/node/JEUSMain.xml 이렇게요.ㅎㅎ 설정 파일 또한 config 안에 있어야 하구요. 그래야 was 기동시 올바르게 설정파일을 불러올 수 있구요.

2. WAS 다루는 것은 조금 조심스럽긴합니다. 버전 별로 변화도 생기고 제가 그쪽의 엔지니어가 아니라 전문적으로 모르고 말하는 부분에 대해 조심스럽긴하네요.;;ㅎ 그래도 참고해볼게요.ㅎㅎ

그리고, 이후 강의는 여러개 있지만 파일 업로드 취약점 파트(2), XSS 등 여러가지 준비중입니다.ㅎㅎ

다른 취약점들도 묶어서 실무적으로 다룬다는데 다른 취약점도 강의로 개설해달라는 말씀이시죠?

1

최경호님의 프로필 이미지
최경호
질문자

답변 감사합니다. 그래도 개념과 원리를 확실히 짚어주시니, 어렴풋이 알던 내용도 확신이 생기고 여러모로 많이 배우고 있습니다. 질문 몇 가지만 더 부탁드릴께요!

1. jeus의 경우 JEUSMain.xml이 설정 파일이라고 강의를 들었는데 해당 파일의 이름을 변경해서 운영할 수도 있나요? 가능할 경우, config 외의 디렉토리에서 존재할 수도 있나요?(실서버에서는 운용 중인 하위디렉토리와 서비스가 많은데 이름도 비슷하거나 여러 디렉토리에 존재하는 경우가 많아서 헷갈리네요.)

2. 국내는 제우스의 비중이 높아졌는데 was별 설정 구조 등 정보들에 대해서 추후 정리하여 강의해주실 계획은 없으신지요? ㅎㅎ.. (혹은 준비 중인 강의는 무엇인가요? 다른 취약점들도 묶어서 실무적으로 다뤄도 좋을 것 같습니다 :)

1

크리핵티브님의 프로필 이미지
크리핵티브
지식공유자

안녕하세요.

우선 실무 사례의 경우는 Part(2) 교육이라 원래 포함시키지 않는것이 계획이였으나, 11개가 추가 되었습니다.

나름 배려했음을 이해부탁드립니다.ㅠㅡㅠ

그리고 일반적으로는 다른 파라미터가 없을 경우 경로 조작이 불가능합니다.

그러나 경우에 따라서 되는 경우도 있습니다.

이유는 업로드 라이브러리, 컴포넌트에 따라서 방식의 차이점이 존재하기 때문입니다.

최경호님의 프로필 이미지
최경호

작성한 질문수

질문하기