이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.
Formula Injection 취약점은 CSV 주입 공격이라고도 하며 저장된 데이터를 CSV 파일로 내보낼때 생성 된 CSV 파일안에 명령어를 삽입할수 있는 공격을 말합니다.
https://www.owasp.org/index.php/CSV_Injection
https://payatu.com/csv-injection-basic-to-exploit/
CVE-2014-3524
https://www.openoffice.org/security/cves/CVE-2014-3524.html
사이트를 참고 하시기 바랍니다.
Formula Injection 취약점 진단 화면 입니다. 빨간 박스와 같이 에러가 나시는 분들은 해당 경로를 맞춰줘야 합니다.
formaula_injection 폴더의 home.php 파일
fileupload 폴더의 home.php 파일
해당 취약점은 CSV 파일을 로그할때 명령어 주입 공격이 가능합니다.
다음과 같이 Unrestricted File Upload 항목으로 가서 이미지를 업로드 해줍니다.
명령어 삽입을 주입하여 이미지를 업로드 한 화면 입니다.
Formula Injection 항목으로 가서 확인을 해보시면 Category 항목에 정상적으로 명령어가 삽입되어 있는 것을 확인 할수 있습니다. 해당 파일을 다운받아 실행을 하면 계산기가 실행되는 화면을 보실수 있습니다.
'Code::Security > XVWA' 카테고리의 다른 글
| 취약한 웹 애플리케이션 (XVWA) XPATH Injection 취약점 진단 (0) | 2018.09.17 |
|---|---|
| 취약한 웹 애플리케이션 (XVWA) OS Command Injection 취약점 진단 (0) | 2018.09.11 |
| 취약한 웹 애플리케이션 (XVWA) SQL Injection (Blind) 취약점 진단 (0) | 2018.09.04 |
| 취약한 웹 애플리케이션 (XVWA) SQL Injection 취약점 진단 (1) | 2018.08.30 |
| 취약한 웹 애플리케이션 XVWA 테스트 환경 구축하기 (0) | 2018.08.17 |