LDAP : 조직이나, 개체, 그리고 인터넷이나 기업 내의 인트라넷 등 네트워크 상에 있는 파일이나 장치들과 같은 자원 등의 위치를 찾을 수 있게 해주는 소프트웨어 프로토콜
-> *을 입력한 뒤 나오는 결과 확인 후 [*);cn;]부터)을 추가해서 에러가 나오는지 확인
SSI : HTML 페이지의 전체 코드를 수정하지 않고 공통 모듈 파일로 관리하며 동적인 내용 추가하기 위해 만들어진 파일, 적은 정보 추가 및 간단한 정보 실행할 때 사용하면 좋음
XPATH : XML 문서의 특정 요소나 속성에 접근하기 위한 경로 지정 언어
XML : 데이터를 저정하고 전달 목적으로 만든 언어
디렉터리 인덱싱 : 서버의 미흡한 설정으로 특정 디렉터리 초기페이지의 파일이 존재하지 않을 시 자동으로 디렉터리 리스트를 출력
-> &3f.jsp
악성 컨텐츠 삽입 : 입력값에 대한 필터링이 이루어지지 않아 공격자가 악성 콘텐츠를 삽입
파일업로드 : 게시판 등에 .asp, .jsp 등의 파일을 업로드 -> 파일 업로드시 패킷을 잡아서 거기서 수정시 바뀌는 지 확인
CSRF : 사용자의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹 사이트에 요청
불충분한 인증 : 민감 데이터 접근 가능한 곳에 취약안 인증(마이페이지 접근 시 2차비밀번호 누락)
불충분한 인가 : 민감 데이터 및 기능에 대한 접근 권한 x(게시판 접근 시 권한 없는 사람이 접근)
프로세스 검증 누락 : 인증 후 접근 가능한 사이트를 인증 없이 접근(로그인 없이 게시판 접근)
자동화 공격 : 게시판 등에 DOS 공격 통제 하는지 CAPTCHA로 방어 가능
'웹해킹' 카테고리의 다른 글
| 서브 도메인 찾아주는 툴 - Sublist3r-master (0) | 2024.02.03 |
|---|---|
| 국내 버그 바운티 사이트(Bugcamp) (0) | 2022.09.14 |
| PHP Code Injection (2) | 2019.08.01 |
