php code injection 실습에 이어서, 오늘은 인젝션 기법 중 ssi injection을 실습해볼게요. 실습하는 모든 공격은 실제로 사용하시면 안됩니다. 허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며, 모든 법적 책임은 사용자에게 있는 것을 명심해주세요. SSI(Server-Side Includes? html 페이지의 전체 코드를 수정하지 않고 공통 모듈 파일로 관리하며 동적인 ㅐㄴ용을 추가하기 위해 만들어진 기능이다. 주로 방문자 수를 세거나 홈페이지의 로고 수정 등 간단한 기능 추가시 사용한다. ssi 를 사용하는 웹 페이지의 경우 ssi지시어 처리를 위한 .shtml (www.terms.co.kr/SHTML.htm) 확장자 파일을 생성한다. ssi지시어의 형식은 다음과 같은..

OS 커맨드 인젝션 실습에 이어서, 오늘은 인젝션 기법 중 php 코드 인젝션을 실습해볼게요. 실습하는 모든 공격은 실제로 사용하시면 안됩니다. 허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며, 모든 법적 책임은 사용자에게 있는 것을 명심해주세요. 난이도 하 먼저 PHP code Injection을 low모드로 들어가주세요. 들어가보면, 위와 같은 창이 뜨는데, message...을 클릭하면 test라는 문자열이 출력됩니다. GET메서드로 요청하기 때문에 URL에 'message'라는 변수가 노출됩니다. message변수에 입력된 test 대신 다른 문자열을 입력하면 phpi.php 페이지에 입력한 문자열이 출력됩니다. PHP에서 exec() 함수나 eval() 함수를 사용한 경우 세미콜론(..