웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #File Upload

Vulnerability: File Upload

 

 

메모장으로 test.text 파일을 만들어 업로드해보면 다음과 같은 경로에 업로드 되는 것을 확인할 수 있다.

기존 url은 http://localhost/DVWA-master/vulnerabilities/upload/이고 업로드 된 경로는 ../../hackable/uploads/test.txt이기 때문에 파일이 저장된 경로는 /DVWA-master/hackable/uploads/test.txt인 것을 알 수 있다.

해당 경로로 접속하면 업로드 된 파일을 읽을 수 있다.

텍스트 파일이기 때문에 단순히 내용을 출력하고 끝났지만 php 파일이나 자바스크립트 파일이 업로드됐다면

서버 측에서 코드가 실행되기 때문에 서버 정보 노출이나 추가 피해가 발생할 수 있을 것이다.