[보안 해킹] 홈페이지 개발 보안 - 파일 업로드
■ 취약점 설명
- 서버사이드에서 실행될 수 있는 스크립트 파일(asp, jsp, php 파일 등)이 업로드가 가능하고, 업로드 된 파일이 웹을 통해 실행될 수 있는 취약점
■ 보안대책
⑴ 화이트리스트 방식으로 허용된 확장자만 업로드 허용
⑵ 업로드 되는 파일을 저장할 때에는 파일명과 확장자를 외부사용자가 추측할 수 없는 문자열로 변경하여 저장
⑶ 저장 경로는 web document root' 밖에 위치시켜, 웹을 통한 직접 접근 차단
■ 코드 예제
- 업로드할 파일에 대한 유효성을 검사하지 않아, 공격자에 의해 위험한 유형의 파일이 업로드가 가능한 형태의 코딩
- 미리 정의된 업로드 파일의 확장자만 허용하고 그 외 확장자는 업로드를 제한하고, 저장 시 외부에서 입력된 파일명을 그대로 저장되지 않도록 코딩
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
[보안 해킹] 홈페이지 개발 보안 - 버퍼 오버플로우 (0) | 2016.10.25 |
---|---|
[보안 해킹] 홈페이지 개발 보안 - 파일 다운로드 (0) | 2016.10.24 |
[보안 해킹] 홈페이지 개발 보안 - 크로스 사이트 스크립트 (0) | 2016.10.21 |
[보안 해킹] 홈페이지 개발 보안 방안 - XPath 인젝션 (0) | 2016.10.20 |
[보안 해킹] 홈페이지 개발 보안 방안 - XQuery 인젝션 (0) | 2016.10.20 |