File Inclustion· 악의적인 코드가 입력된 파일을 사용자가 서버에서 열람하는 공격이다.Remote & Local File Inclusion (RFI/LFI) · RFI : 외부 서버에 있는 악의적인 파일을 이용하여 내부 서버에 있는 정보를 획득하는 방식· LFI : 내부 서버 자체적인 취약점을 이용하여 내부 서버에 있는 정보를 획득하는 방식rlfi.phpRFI/ LFI 취약점을 이용하여 서버안에 있는 정보를 획득한다.난이도 '하'*LFI 방식아래 사진들을 보면 language 변수가 각 select 요소 마다 변수값이 달라지는 것을 확인할 수 있다.이전 페이지에서 봤던 Directory Traversal 취약점을 이용할 수 있을 것같다.language=../../../../etc/passwd위..........
원문링크 : A7 - Missing Function Level Access Control/ Remote & Local File Inclusion (RFI/LFI)
네이버 블로그
티스토리
커뮤니티