[Kali_Linux] Restrict Folder Access | bWAPP | Missing Functional Level Access Control

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다.

1. Missing Functional Level Access Control

   - OWASP Top 10 A7 - 기능 수준의 접근 통제 누락

   - 접근 통제 및 검증이 서버 설정, 관리 부분에서 제대로 구성되지 않았을 때 중요 자원 접근이 가능한 취약점이다.

   - Ex) 디렉토리 접근, 파일 접근, 파일 다운로드 및 업로드

 

2. Restrict Folder Access

   - 디렉토리 브라우징 또는 디렉토리 리스팅이라고 하며, 웹 서버의 디렉토리 목록이 노출되어 접근이 가능한 취약점이다. 

   - Linuux Apache와 Windows IIS에서 디렉토리 검색 기능이 활성화되어 있는 경우 취약점이 발생한다.

 

3. Missing Functional Level Access Control - Restrict Folder Access

   - 이 시나리오는 웹-서버 디렉토리 검색 기능이 활성화 되어 있는 경우, 디렉토리 접근이 가능한 내용이다.

 

===============================실습===================================

1) 첫 화면

 

2) 'bWAPP_intro.pdf' 우클릭 -> '링크 주소 복사' 클릭 & 직접들어가도 된다.

 

3) 'documents' 디렉토리 접속 실시

 

4) 로컬PC -> 크롬 브라우저 -> 디렉토리 리스팅 취약점 검색 -> 검색 링크 클릭

   디렉토리 리스팅 취약점 : intitle:"index of" intext":최신영화

 

5) 디렉토리 리스팅 취약점 확인