[Kali_Linux] Local File Inclusion ( SQLiteManager ) | bWAPP | Missing Functional Level Access Control

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다.

1. Missing Functional Level Access Control

   - OWASP Top 10 A7 - 기능 수준의 접근 통제 누락

   - 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다.

   - Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드

 

2. Local File Inclusion ( SQLiteManager )

   - SQLiteManager에 파일 업로드 또는 스크립트를 인젝션하여 악의적인 프로그램 실행 및 정보를 획득하는 취약점이다.

 

3. Missing Funcional Level Access Control - Local File Inclusion ( SQLiteManager )

   - 이 시나리오는 SQLite 관리자 페이지 'main.php', 'index.php' 취약점을 이용하여 XSS를 실행하는 내용이다.

 

==========================실습===================================

1) 첫 화면

 

2) SQLiteManager 접속 실시 (http://192.168.222.132/sqlite)

 

3) Test 클릭

 

4) Trigger 클릭 + 스크립트 인젝션 실시

 

5) 쿠키 정보 획득 확인