작성
·
233
1
/A/B/C/D/TEST.JSP
..//A/B/C/D/TEST.JSP 404 에러페이지
/A/B/C/D/T../EST.JSP 404 에러페이지
의 경우는 어떤식으로 추가적으로 접근해 볼수 있을까요?
답변 3
1
안녕하세요
실무에서 활용하고 있다보니, 정보를 많이 드리지 못하는점 양해 부탁드립니다.
?download.jsp?filename=/A/B/C/D/TEST.JSP 이형태는 아닌것 같고요
GAT /경로/경로/경로/2020/07/02/1235.pdf "1235.pdf" 파일은 정상 다운로드가 가능합니다.
강의 내용대로 ., ./, /, ../ 시도 해보면서 확인하는 상황입니다.
../ 파일앞에 들어가는경우 중간에 들어가는 경우 치환 제거를 확인하고 다음으로 진행이 가능한것 같은데요
../가 파일앞이든 중간이든 404 에러가 발생하면 다른방법이 생각이 나지 않아서요
../ 제거가 안되는것 같기도 합니다.
0
예를들어,
"GET /upload/2020/07/09/test.pdf HTTP/1.1"
이런 형태의 요청의 경우는 파일 다운로드 기능을 활용하고 있지 않고
웹 서버 측에서 자원을 찾아서 반환 해주는 형태입니다.
즉, 파일 다운로드 기능 활용을 하지 않기에 파일 다운로드 취약점 공격 대상이 될 수 없습니다.
0
안녕하세요.
지금 어떤 상황의 질문인거죠?
?download.jsp?filename=/A/B/C/D/TEST.JSP
이렇게 되심을 말씀하신건가요?
그리고 "/A/B/C/D/TEST.JSP" 파일은 정상 다운로드가 가능하다는 전제조건인가요?
정확한 상황을 알아야 추가로 접근 여부를 생각해볼 수 있습니다.