21. 파일 업로드(PU)

마샤와 곰 2021. 12. 9. 23:30

파일업로드 취약점은 파일을 등록, 수정하는 기능을 이용하여 시스템 명령어를 실행할 수 있는 웹 프로그램(웹셀)을 업로드할 수 있는 취약점입니다.
표준취약점 10번인 악성 콘텐츠(CS)와 같은 맥락의 취약점 이며, 대응하는 방법 또한 비슷 합니다.
* 사실 표준취약점항목이 조치를 하다 보면 거의 대부분 해야되는 방법은 비슷한 것 같습니다.

악성 콘텐츠(CS) 대비 방법과 같은 내용이므로 방법은 간략하게 적겠습니다.

자세한 내용은 아래 링크를 통해 확인 할 수 있습니다.

https://lts0606.tistory.com/544

10. 악성 콘텐츠(CS)

웹 환경에서 파일을 업로드 하는 경우에 해당 파일유효성 검증을 따로 하지 않는 경우, 악성콘텐츠가 삽입된 페이지에 접속한 사용자는 악성코드 유포 사이트가 자동으로 호출되어 악성코드에

lts0606.tistory.com

#방법1

브라우저에서 파일 업로드를 하는 경우에 확장자 및 타입을 검증 하게 합니다.

#방법2

브라우저의 유효성검사를 우회한 경우를 대비하여 서버에서 확장자 체크, 마임타입(Mime-type)을 확인 합니다.

이상으로 표준취약점 파일 업로드(PU)에 대해서 간단하게 살펴보았습니다.

궁금한점 또는 틀린 부분은 언제든 연락주세요! 👻

저작자표시 변경금지 (새창열림)