본문 바로가기

Security/Hacking & Security

[보안 해킹] 홈페이지 개발 보안 - 파일 업로드

[보안 해킹] 홈페이지 개발 보안 - 파일 업로드



■ 취약점 설명

    - 서버사이드에서 실행될 수 있는 스크립트 파일(asp, jsp, php 파일 등)이 업로드가 가능하고, 업로드 된 파일이 웹을 통해 실행될 수 있는 취약점


■ 보안대책

    ⑴ 화이트리스트 방식으로 허용된 확장자만 업로드 허용

    ⑵ 업로드 되는 파일을 저장할 때에는 파일명과 확장자를 외부사용자가 추측할 수 없는 문자열로 변경하여 저장

    ⑶ 저장 경로는 web document root' 밖에 위치시켜, 웹을 통한 직접 접근 차단


■ 코드 예제

    - 업로드할 파일에 대한 유효성을 검사하지 않아, 공격자에 의해 위험한 유형의 파일이 업로드가 가능한 형태의 코딩


    - 미리 정의된 업로드 파일의 확장자만 허용하고 그 외 확장자는 업로드를 제한하고, 저장 시 외부에서 입력된 파일명을 그대로 저장되지 않도록 코딩






※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853


문의 사항 남기기