방문해 주셔서 감사합니다! 항상 행복하세요! - 문의사항은 메일 또는 댓글로 언제든 연락주세요. - "해줘","답 내놔" 같은 질문은 답변드리지 않습니다. - 메일주소 : lts06069@naver.com file download2 23. 파일 다운로드(FD) 파일 다운로드 취약점은 해커가 허용된 경로 외 다른 경로의 파일을 열람하거나 다운받는 취약점을 의미 합니다. 일반적인 이미지나 텍스트 파일 같은경우에는 사실 크게 문제가 되지 않습니다만 사용자가 권한과 인증을통해서 올린 파일이나 또는 서버 내부의 시스템 설정과 관련된 파일을 받게 된 다면 이를 악용 할 수 있기 때문에 반드시 조치가 되어야 합니다. #방법1 파일 다운로드 기능을 구현 할 때는 사용자의 요청을 파일이름 또는 경로를 받게 해서는 안됩니다. 고유 인덱스 번호를 통해서 스트림 형식으로 파일을 반환하는 방법을 사용해야 합니다. 아래 처럼 파일을 받게 해 준 다면 해커는 쉽게 원하는 파일을 받을수가 있습니다. #이러한 파일요청 방식이 존재한다고 가정하여 봅니다. https:127.0.0.1/boar.. 2021. 12. 10. 전자정부 프레임워크(Spring) 파일 다운로드 스프링에서 파일 다운로드 요청이 들어오면 응답하는 방법은 여러가지이다. 그중 FileSystemResource 클래스를 활용한 방법과, 예전스타일의 stream으로 응답하는 방법 2가지가 존재 한다. 그런데, 전자정부 프레임워크 버전에 따라서 FileSystemResource으로 response를 하더라도 '파일을 찾을 수 없습니다' 라는 황당한 오류를 보게 되는 경우가 있다. 정확히 기억나지는 않지만 전자정부 2이하 버전 또는 비슷한 버전에서 간혹 생기기도한다.. 물론 다른 설정을 잘못한 버그일 수도 있겠지만.. 황당한건...오류 메시지나 버그 메시지가 나오지 않아서 디버깅 하기 어려운 경우도 있으니 말이다. 먼저 첫번째 방법은 FileSystemResource으로 들어온 요청에 대해서 파일을 전해주는.. 2019. 4. 29. 이전 1 다음
