wonder
정보보안 스터디 - 36주차 6일 - 이행점검 마무리3, 점검 예정 항목 본문
XSS
만약 이벤트핸들러를 블랙리스트 기반 필터링을 한다면
onpointerout 도 활용합니다.
파일다운로드
HackTricks LFI path traversal list 참고하면 좋습니다.
만약 디렉토리 스캔 탐지 로직이 없다면 fuzzing(gobuster, wfuzz 활용)하면 됩니다.
파일업로드
파일업로드 무조건 png해야되는데 240자넘으면 shorten되서 php로 저장됩니다.
파일업로드 화이트리스트 기반 확장자 필터링하지 않는다면
cgi, 확장자 외에도
.cer, .asa, cdx, hta, phar 확장자 악용 할 수 있어 막아야합니다.
'Red Team > 프로젝트 관련' 카테고리의 다른 글
| 정보보안 스터디 - 36주차 5일 - 이행점검 마무리2 (0) | 2023.06.20 |
|---|---|
| 정보보안 스터디 - 35주차 6일 - 이행 점검 마무리1 (0) | 2023.06.15 |
| 정보보안 스터디 - 34주차 7일 - 이행 점검 및 리뷰3 (0) | 2023.06.07 |
| 정보보안 스터디 - 34주차 2일 - 이행 점검 및 리뷰2 (0) | 2023.06.03 |
| 정보보안 스터디 - 34주차 1일 - 리뉴얼 재점검 (0) | 2023.06.01 |
'Red Team/프로젝트 관련' Related Articles
more
Comments