최근에 계속 보안 패치가 되는 웹 사이트는 방어대응이 많이 되어있어 공격하기가 쉽지 않음. 그래서 10년 전에 사용됐던 쇼핑몰 CMS를 예시로 취약점 분석을 해보겠음. PHP 언어로 작성되어 있는데 PHP 만의 특이한 취약점이 있어서 실제 블랙박스 모의해킹에도 도움이 된다고 한다.
10년 전에 사용된 웹사이트라서 지금 관점에서 보면 엄청 취약점이 많고 소스코드와 리소스가 다 노출되어 있어서 실습하기 매우 좋은 환경이다
확인되는 취약점이 100개도 넘고 File Download Vulnerability, SQLi, XSS, Open Redirection 등의 흔한 취약점도 많을 뿐만 아니라 PHP에서 발생하는 Type Confusion 취약점도 존재한다
도커 설치 자체는 어려운 점이 없으므로 설명 생략하겠음
실행을 하면 아래와 같은 화면이 보이는데 Engine Running 이 보이면 문제없다는 거
https://github.com/boldagihororok/wizmall-docker
GitHub - boldagihororok/wizmall-docker
Contribute to boldagihororok/wizmall-docker development by creating an account on GitHub.
github.com
위의 깃허브 URL에서 zip 파일을 다운로드하고 압축 풀기
그리고 해당 디렉토리에서 cmd 혹은 powershell을 실행한다
docker compose up -d
docker ps -a
docker compose up -d 명령어를 실행하면 실행되는 컨테이너가 두 개임을 확인할 수 있다
wizmall-docker-main-db-1
wizmall-docker-main-web-1
위의 db는 MySQL 데이터베이스 컨테이너이고 하위 web은 아파치 서버로 실행된 컨테이너다
도커에 이미지가 성공적으로 빌드된 게 확인된다
브라우저에서 http://127.0.0.1/index.php 접속하면 아래처럼 설치 페이지가 뜬다
MySQL 호스트는 db 어드민은 아이디와 패스워드는 admin으로 설정하고
상호명과 홈페이지명은 wizmall 관리자 이메일은 admin@admin.com 이렇게 설정하면 설정은 완료
실습환경구축 성공~!
'웹해킹' 카테고리의 다른 글
| Web LLM Attacks 대규모 언어 모델 AI 보안 취약점 (0) | 2025.03.11 |
|---|---|
| 취약점 점검 자동화 도구 SQL Map, JWT 크랙 (0) | 2025.03.11 |
| 웹 취약점 체이닝의 개념과 실제 버그 사례 (0) | 2025.03.10 |
| [웹해킹] OWASP Top10 취약점 - IDOR, XSS, CSRF, SQL injection, File Inclusion, SSRF (1) | 2025.03.08 |
| [웹해킹] Authentication, Authorization, Input Validation 보안 매커니즘 (0) | 2025.03.08 |