- LFI(Local File Inclusion)는 웹 애플리케이션이 입력 매개변수 유효성 검사 없이 서버의 로컬 파일을 포함할 때 발생하는 일반적인 웹 취약점입니다. 🚨
- 공격자는 LFI를 통해 웹 서버의 설정 파일, 로그, 심지어 비밀번호 파일과 같은 민감한 정보에 무단으로 접근할 수 있습니다. 🔒
- URL 쿼리 스트링의
page매개변수(?page=chill.php형태)가 서버의 로컬 파일을 참조하는 경우 LFI 취약점의 잠재적 지표가 됩니다. 🔍 - Burp Suite와 같은 프록시 도구를 사용하여 웹 요청을 가로채고
page매개변수의 값을 조작하여 LFI 공격을 수행할 수 있습니다. 🛠️ - 서버 파일 시스템의 정확한 경로를 모를 때
../(상위 디렉토리 이동)를 반복하여 파일 시스템의 최상위 디렉토리(루트)로 이동한 후 원하는 파일을 요청하는 경로 탐색 기법이 사용됩니다. 🗺️ ../../../../etc/passwd와 같이 충분한../를 사용하여/etc/passwd파일에 성공적으로 접근함으로써 LFI의 위험성을 입증했습니다. 🔑- 동일한 경로 탐색 기법을 활용하여
../../../../flag.txt를 요청함으로써 CTF 챌린지의 목표인flag.txt파일을 찾아냈습니다. 🏆 - LFI는 웹 애플리케이션이 사용자 입력에 대한 적절한 검증 없이 서버 파일을 로드할 때 발생하며, 경로 탐색과 결합될 경우 서버의 거의 모든 파일에 접근할 수 있는 심각한 위협이 됩니다. 💡
Recommanded Videos
I Accidentally Built Another App (And Learned A Lot)
2025. 4. 1.
C# for Beginners – Lesson 13: Delegates and Events
2025. 5. 12.
Build a Django Rest API and Integrate with Next.js! Django Ninja, shadcn, Neon Postgres, Railway...
2024. 7. 1.
Open AI Just Dropped a Code Editor & It's Good!
2025. 8. 28.
Why Learning To Use AI Tools Like Veo 3 Is More Important Than Ever
2025. 6. 25.
Build a Custom Signup Page with Clerk
2025. 10. 17.