[웹 취약점] 6. SSI 인젝션, 7. XPath 인젝션, 8. 디렉터리 인덱싱

6. SSI 인젝션 점검내용 : 웹페이지 내 SSI 인젝션 공격 가능성 점검 대상 : 웹 애플리케이션 소스코드, 웹 서버, 웹 방화벽 조치방법 : 사용자 입력 값에 대한 검증 로직 추가 구현 참고 SSI(Server-Side Includes) : CGI 프로그램을 작성하거나 혹은 서버사이드 스크립트를 사용하는 언어로, 웹 서버가 사용자에게 페이지를 제공하기 전에 구문을 해석하도록 지시하는 역할을 함 SSI(Server-Side Includes) 인젝션 : HTML 문서 내 입력받은 변수 값을 서버 측에서 처리할 때 부적절한 명령문이 포함 및 실행되어 서버의 데이터가 유출되는 취약점 점검방법 사용자가 입력 가능한 파라미터 값에 를 삽입하여 전송 후 반환되는 페이지에 사이트의 홈 디렉터리가 표시되는지 확인 ..