[KISA교육]중부정보보호지원센터 - 웹 해킹 및 대응

DB 생성하기
웹 해킹 실습시에 사용할 데이터를 저장할 DB를 만들어준다


C:\Users\418-12>C:\xampp\mysql\bin\mysql.exe -u root
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 2
Server version: 10.1.36-MariaDB mariadb.org binary distribution
Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MariaDB [(none)]> CREATE DATABASE dvwa;
Query OK, 1 row affected (0.00 sec)
MariaDB [(none)]> SHOW DATABASES;
+--------------------+
| Database           |
+--------------------+
| dvwa               |
| information_schema |
| mysql              |
| performance_schema |
| phpmyadmin         |
| test               |
+--------------------+
6 rows in set (0.00 sec)
MariaDB [(none)]>

파일업로드 1번 째 문제 - File Upload 확장자 검증 우회(DVWA Security::Low-Level)
가장 낮은 단계의 웹 해킹 방법으로는 파일업로드 시 확장자 검증을 우회하는 방법이 있다.
예를들어 서버에 업로드 할 수 있는 파일의 확장자가 .jpg파일일 경우 공격자는 확장자를 우회하여 .php파일을 .jpg파일로 속일 수 있다는 것이다.