S3 Bucket Policy - JSON 형식으로 이루어짐 - 버킷에 대해서만 권한 설정 가능(개별 객체는 불가) - JSON을 통해 세분화된 권한 설정 가능 { "Version": "2023-03-09", //버킷 정책의 문법이 언제를 기준으로 사용하는지 "Id": "PutObjPolicy", //버킷 정책의 고유 아이디, 자동으로 부여되는 경우 많음 "Statement": [ { "Sid": "Statement1", //각 statement의 고유 아이디 "Effect": "Allow", //버킷에 대한 명령을 allow하거나 deny하는 것 "Principal": {"AWS": "적용대상 ARN"}, //버킷 정책의 적용대상 "Action": [ "s3:GetObject", "s3:ListBuck..
정의 : 공격자가 폴더의 위치 예측하여 파일 및 정보 획득하는 취약점 대상 : 웹 서버 판단기준 : 불필요한 파일 및 샘플 페이지 존재 여부 테스트 방법 : 1) 웹 루트 디렉터리 내 웹 서비스에 불필요한 확장자 파일이 존재하는지 확인 2) 샘플 페이지의 디렉터리 및 파일 존재 여부 확인 ※ 점검 편의를 위하여 python 스크립트로 제작해놓고 활용하는 것 추천
requests 모듈 - python용 HTTP 라이브러리 - HTTP, HTTPS 웹 사이트에 요청하기 위해 자주 사용되는 모듈 중 하나 모듈 사용 방법 import requests 요청 방식 GET 방식 : requests.get() POST 방식 : requests.post() PUT 방식 : requests.put() ... 요청 시 사용되는 매개변수 - url = "웹사이트 URL" > 웹 사이트 주소 입력 - cookies = {'키1':'값1'} > 요청할 때 헤더에 쿠키에 대한 정보 포함 - allow_redirects = True/False > 요청하고 응답받는 과정에서 리다이렉션 허용여부 선택 - verify = True/False/certificate 경로 > SSL 인증서 확인 과정..
정의 : 특정 디렉터리에 초기 페이지(index.html, home.html 등)의 파일이 존재하지 않을 때 자동으로 디렉터리 리스트를 출력하는 취약점 대상 : 웹 서버 판단기준 : 디렉터리 파일 리스트가 노출되는지 여부 테스트 방법 : 점검 url 경로 중 확인하고자 하는 디렉터리까지만 주소창에 입력하여 확인 ※ 점검 편의를 위하여 python 스크립트로 제작해놓고 활용하는 것 추천
