문의사항
314
11 asked
/A/B/C/D/TEST.JSP
..//A/B/C/D/TEST.JSP 404 에러페이지
/A/B/C/D/T../EST.JSP 404 에러페이지
의 경우는 어떤식으로 추가적으로 접근해 볼수 있을까요?
Answer 3
1
안녕하세요
실무에서 활용하고 있다보니, 정보를 많이 드리지 못하는점 양해 부탁드립니다.
?download.jsp?filename=/A/B/C/D/TEST.JSP 이형태는 아닌것 같고요
GAT /경로/경로/경로/2020/07/02/1235.pdf "1235.pdf" 파일은 정상 다운로드가 가능합니다.
강의 내용대로 ., ./, /, ../ 시도 해보면서 확인하는 상황입니다.
../ 파일앞에 들어가는경우 중간에 들어가는 경우 치환 제거를 확인하고 다음으로 진행이 가능한것 같은데요
../가 파일앞이든 중간이든 404 에러가 발생하면 다른방법이 생각이 나지 않아서요
../ 제거가 안되는것 같기도 합니다.
0
예를들어,
"GET /upload/2020/07/09/test.pdf HTTP/1.1"
이런 형태의 요청의 경우는 파일 다운로드 기능을 활용하고 있지 않고
웹 서버 측에서 자원을 찾아서 반환 해주는 형태입니다.
즉, 파일 다운로드 기능 활용을 하지 않기에 파일 다운로드 취약점 공격 대상이 될 수 없습니다.
0
안녕하세요.
지금 어떤 상황의 질문인거죠?
?download.jsp?filename=/A/B/C/D/TEST.JSP
이렇게 되심을 말씀하신건가요?
그리고 "/A/B/C/D/TEST.JSP" 파일은 정상 다운로드가 가능하다는 전제조건인가요?
정확한 상황을 알아야 추가로 접근 여부를 생각해볼 수 있습니다.
질문이 있습니다
1
420
1
15:00 에서 '\'는 왜 URL 인코딩해서 보내야 되는 건가요?
1
431
1
java Spring 프레임 워크 환경에서의 파일 다운로드 취약점
1
566
1
질문입니닷.
1
263
1
안녕하세요
1
392
2
파일 다운로드 취약점 실무사례 분석 관련
1
524
1
[실습1-2] 직접 제작하면서 배우는 JSP 기반의 파일 다운로드 질문
1
633
1
실무 수업 자료 오류
1
309
2
Switchysharp 프록시 사용해서 하고 있습니다.
1
381
1
test.jsp 테스트 하실 때
1
300
1
index 파일을 받아서 어떻게 공격할수 있는건지 궁금합니다
1
365
1
burp suite 설치는 언제 한건가요??
1
315
1
웹 디렉토리에 관련된 질문 사항입니다.
1
303
2
burpsuite 원하는 응답 및 요청만 설정 관련 질문
1
229
1
[실습 5-1] "\\" 는 처리가 안되어있어서 질문드려요
2
202
1
간접적방식 문의드립니다.
1
227
1
TOMCAT문제 도와주세요ㅠ
1
347
5
실행환경설정 도와주세요
1
273
1
안녕하세요
1
315
2
tomcat 8.5 설치이후에
1
579
2
문의사항
1
232
1
경로 조작에서 질문이요!
1
202
1
brup로 인터셉트할때
1
370
2
섹션2. 취약점 분석 방법론(4) 강의 내용중에 질문이 있습니다.
1
372
2