점검방법/WEB1 [SSRF]PHP fopen() 함수 Server Side Request Forgery 웹 어플리케이션이 외부로 request를 보낼 대상을 설정할 때, 뿐만 아니라 외부로 request를 보낼 수 있는 함수를 사용할 때 인자에 user input이 들어간다면 발생할 수 있다. PHP는 http:// Wrapper를 지원하기 때문에, fopen(), include/require, cURL등에 인자로 http://url 형태를 넘겨 외부 도메인에 있는 리소스를 가져올 수 있다. - http:// 이외에도 다양한 Wrapper를 사용할 수 있다. - 위 함수들 뿐만 아니라, user input을 참고해 외부 request를 보내는 상황이면 어디든 발생할 수 있다. 외부 도메인 뿐만 아니라 방화벽 뒤에 위치한 internal network 같은,.. 2022. 1. 4. 이전 1 다음