경희대학교 컴퓨터공학과 사이트 취약점 분석

경희대학교 국제캠퍼스 제2기숙사 A동 앞, 출근 전의 가을 아침 풍경

 

0. 개요

 경희대학교에는 컴퓨터공학과, 소프트웨어융합학과로 이루어진 소프트웨어융합대학 단과대가 있다. 나는 컴퓨터공학과에 속해있고, 학과 웹사이트를 보면서 지속적인 유지보수가 되지 않고 있다고 느꼈고 바로 취약점을 찾아보았다. 회원가입시 중복 아이디  많이 취약해서 취약점 분석을 시작한지 5분도 채 되지 않아 취약점을 찾았다. 일단 가장 큰 Logical bug가 존재했다.

 

 

1. 아이디 중복 우회를 통한 관리자 권한 탈취

추가 예정

 

2. 로그인 과정에서의 SQL Injection을 통한 관리자 권한 탈취

추가 예정

 

3. 검색 부분에서의 SQL Injection && WAF Bypass 

추가 예정

 

4. 관리자 기능에서 파일 업로드 && 파일 업로드 확장자 우회 && WAF Bypass를 통한 Webshell 실행

추가 예정 루삥삥삥뽕