SSI(Server Side Includes) 인젝션
·
자격증/정보보안 기사
SSI(서버 사이드 인클루전, Server Side Includes) 인젝션은 웹 애플리케이션에서 서버 사이드 인클루전(SSI) 기능을 악용하여 공격자가 원하지 않는 서버 명령어를 실행하거나 파일에 접근하는 공격 기법입니다. SSI는 웹 서버에서 HTML 페이지에 동적으로 콘텐츠를 삽입하기 위해 사용되는 간단한 서버 측 스크립트입니다. ### SSI 인젝션의 발생 원리 - **SSI가 활성화된 페이지**에서 사용자 입력을 제대로 검증하지 않고 포함시킬 때, 공격자는 SSI 명령어를 삽입할 수 있습니다. - 이 명령어는 서버에서 실행되어 악의적인 작업을 수행할 수 있습니다. 예를 들어 파일을 읽거나 서버 명령어를 실행할 수 있습니다. ### 공격 예시 - 다음과 같은 SSI 명령어를 삽입하여 서버 측에서 ..