파일업로드 취약점은 파일을 등록, 수정하는 기능을 이용하여 시스템 명령어를 실행할 수 있는 웹 프로그램(웹셀)을 업로드할 수 있는 취약점입니다.
표준취약점 10번인 악성 콘텐츠(CS)와 같은 맥락의 취약점 이며, 대응하는 방법 또한 비슷 합니다.
* 사실 표준취약점항목이 조치를 하다 보면 거의 대부분 해야되는 방법은 비슷한 것 같습니다.
악성 콘텐츠(CS) 대비 방법과 같은 내용이므로 방법은 간략하게 적겠습니다.
자세한 내용은 아래 링크를 통해 확인 할 수 있습니다.
https://lts0606.tistory.com/544
10. 악성 콘텐츠(CS)
웹 환경에서 파일을 업로드 하는 경우에 해당 파일유효성 검증을 따로 하지 않는 경우, 악성콘텐츠가 삽입된 페이지에 접속한 사용자는 악성코드 유포 사이트가 자동으로 호출되어 악성코드에
lts0606.tistory.com
#방법1
브라우저에서 파일 업로드를 하는 경우에 확장자 및 타입을 검증 하게 합니다.
#방법2
브라우저의 유효성검사를 우회한 경우를 대비하여 서버에서 확장자 체크, 마임타입(Mime-type)을 확인 합니다.
이상으로 표준취약점 파일 업로드(PU)에 대해서 간단하게 살펴보았습니다.
궁금한점 또는 틀린 부분은 언제든 연락주세요! 👻
반응형
'웹 취약점(Web vulnerability)' 카테고리의 다른 글
| 23. 파일 다운로드(FD) (0) | 2021.12.10 |
|---|---|
| 22. 약한 문자열 강도(BF) (0) | 2021.12.09 |
| 20. 프로세스 검증누락(PV) (0) | 2021.12.09 |
| 19. 자동화 공격(AU) (0) | 2021.12.09 |
| 18. 세션고정(SF) (0) | 2021.12.08 |
* 위 에니메이션은 Html의 캔버스(canvas)기반으로 동작하는 기능 입니다. Html 캔버스 튜토리얼 도 한번 살펴보세요~ :)
* 직접 만든 Html 캔버스 애니메이션 도 한번 살펴보세요~ :)
댓글