Predictable Resource Location는 숨겨진 웹 사이트 콘텐츠와 기능을 찾아내는 데 사용되는 공격 기술이다.
공격자는 무차별 공격을 통해 정보에 기반한 추측으로 공개적으로 볼 수 없는 파일 및 디렉터리 이름을 추측할 수 있다.
파일/경로에는 공통 명명 규칙이 있고 표준 위치에 상주하는 경우가 많기 때문에 파일 이름을 무차별 대입하는 것은 쉽다.
여기에는 임시 파일, 백업 파일, 로그, 관리 사이트 섹션, 구성 파일, 데모 애플리케이션 및 샘플 파일이 포함될 수 있다.
이러한 파일은 웹사이트, 웹 애플리케이션 내부, 데이터베이스 정보, 비밀번호, 컴퓨터 이름, 기타 민감한 영역에 대한 파일 경로 등에 대한 민감한 정보를 공개할 수 있다.
이는 추가적인 사이트 취약성을 초래할 수 있는 사이트 표면을 식별하는 데 도움이 될 뿐만 아니라 환경이나 사용자에 대한 귀중한 정보를 공격자에게 공개할 수도 있다.
공격구문 - phpmyadmin/index.php 등
Predictable Resource Location는 Forced Browsing, Forceful Browsing, File Enumeration, and Directory Enumeration과 동일한 공격기법이다.
'업무' 카테고리의 다른 글
X-Forwarded-For(XFF) (0) | 2023.11.30 |
---|---|
에러코드 정리 (1) | 2023.11.30 |
Invalid HTTP (0) | 2023.11.30 |
로그 파싱 쿼리 설명 (0) | 2023.11.04 |
Abnormally Long Request (0) | 2023.10.31 |