웹 해킹/웹 공부
Directory Traversal 공격
삼전동해커
2020. 9. 9. 13:25
Directory Traversal 공격에 대해 알아보장.
우리말로는 디렉토리 접근 공격이다.
이 공격으로 사용자에게 허가되지 않은 디렉토리에 접근해 파일을 열람할 수 있다.
리눅스에서 상위 디렉토리로 이동할 때 ../ 명령어를 사용한다.
이를 웹의 url에서 사용하는 방법이다.
www.127.0.0.1/index.php/../../../etc/passwd
이런식으로 웹 보유자가 보여주는 디렉토리가 아닌 상위 디렉토리로 이동하는 공격이다.
../ 말고도
.././
..//
%2e%2e%2f
같은 방법으로도 사용할 수 있다.
이 사이트의 directory traversal문제를 풀어보면 좋다.
그리고 ../을 많이 넣어 root디렉토리보다 상위디렉토리로 접근할 경우 접근하려던 디렉토리로 접근하게 된다.
?file=../../../../../../../../../../etc/passwd 와 같이 root디렉토리보다 상위 디렉토리에 접근할 경우
바로 /etc/passwd로 이동된다.