질문입니닷.
263
7 asked
안녕하세요 질문이있습니다.
혹시 다운로드시 버프로 패킷을 잡고 확인했을때
파일명부분이 안보이거나 파일명이 암호화된것처럼 난수로 되어잇을경우 어떻게 해야할까요...
Answer 1
0
다운로드 기능 이용 시 파일명이 안보이는 경우는 없습니다.
파일 다운로드 기능을 처리하는 경우 사용자로부터 어떠한 파일을 받아야 될지 알아야 되기 때문이죠.
난수로 된 경우는 실제 업로드된 파일명을 수 있습니다. 이것을 예측하는 방법은 orginal 파일명과 real 파일명을 요청하는 것으로 판단이 가능합니다.
간혹 파일명을 base64 인코딩해둔 환경이 있긴합니다. base64는 디코딩을 하면되고, 암호화가 되어 있다면 복호화를 할 수 있으면(복호화 가능하면 암호화도 가능) 당연 공격이 가능하긴 합니다. 그러나 , 파일명을 암호화하는 형태는 실 환경에서 찾아보기 드물긴합니다.
왜냐면 리소스 낭비고 효율적이지 못하기 때문입니다. 파일을 다운로드하는 사용자가 많을 경우 하나의 요청마다 일일이 복호화를 한다면 웹 서비스 측면에선 리소스 낭비입니다. 차라리 입력 값 검증 로직을 하는 것이 더 효율적이죠.
보안적으로 보면 암호화가 좋지 않냐라고 생각할 수는 있으나, 웹 서비스는 말 그대로 서비스입니다. 사용자에게 서비스를 제공해주는게 제 1의 목적입니다. 때문에 항상 효율성을 따지기 마련입니다. 보안은 후 순위일 수 밖에 없죠.
질문이 있습니다
1
424
1
15:00 에서 '\'는 왜 URL 인코딩해서 보내야 되는 건가요?
1
432
1
java Spring 프레임 워크 환경에서의 파일 다운로드 취약점
1
568
1
안녕하세요
1
393
2
파일 다운로드 취약점 실무사례 분석 관련
1
525
1
[실습1-2] 직접 제작하면서 배우는 JSP 기반의 파일 다운로드 질문
1
634
1
실무 수업 자료 오류
1
310
2
Switchysharp 프록시 사용해서 하고 있습니다.
1
381
1
test.jsp 테스트 하실 때
1
301
1
index 파일을 받아서 어떻게 공격할수 있는건지 궁금합니다
1
367
1
burp suite 설치는 언제 한건가요??
1
318
1
웹 디렉토리에 관련된 질문 사항입니다.
1
308
2
burpsuite 원하는 응답 및 요청만 설정 관련 질문
1
231
1
[실습 5-1] "\\" 는 처리가 안되어있어서 질문드려요
2
206
1
간접적방식 문의드립니다.
1
230
1
TOMCAT문제 도와주세요ㅠ
1
352
5
실행환경설정 도와주세요
1
276
1
안녕하세요
1
319
2
문의사항
1
317
3
tomcat 8.5 설치이후에
1
582
2
문의사항
1
233
1
경로 조작에서 질문이요!
1
204
1
brup로 인터셉트할때
1
372
2
섹션2. 취약점 분석 방법론(4) 강의 내용중에 질문이 있습니다.
1
374
2