주요정보통신기반 웹 취약 분석 평가 방법 23번째 항목인 파일 다운로드(File Download/FD)다.
'File Download' 카테고리의 글 목록
ragdo11.tistory.com
역시 정리해놨다!
뭔가 날먹하는 기분이 들면서도 평소에 정리해놨으니 이럴 때 오히려 쉬어간다는 느낌도 없지 않아 있다. 물론 그렇다고 복습을 안한다라는 것은 아니다.
파일 다운로드는 파일을 다운받을 때 원래 다운받을 파일 이름을 변경하여 directory traversal을 이용하여 허용되지 않은 곳의 무작위 파일을 다운받는 취약점이므로 traversal로 사용되는 ../ 를 필터링해주고 파일을 다운받는 디렉터리를 한정하라 했었다.
FD의 보안설정방법
- 파일 다운로드의 취약성은 주로 파일의 이름을 조작하는 데서 비롯되므로 다운로드 파일 이름을 데이터베이스에 저장하고 다운로드 수행 시 요청 파일 이름과 비교하여 적절한지 확인하여 사용자가 조작할 수 있는 변수를 제거함
- 다운로드 애플리케이션 소스 파일을 수정하여 파일을 다운받을 수 있는 디렉터리를 특정 디렉터리로 한정하고 이 외의 다른 디렉터리에서는 파일을 다운받을 수 없도록 설정해야 함
- PHP를 사용하는 경우 php.ini 에서 magic_quotes_gpc를 On으로 설정하여 .\./ 와 같은 역 슬러시 문자 입력 시 치환되도록 설정
- 파일 다운로드의 절대 경로 설정 및 DocBase의 상위경로 또는 타 드라이브로 설정을 변경함
- 다운로드 경로 정보를 자바스크립트나 js 소스에서 확인할 수 없게 제한하며, 웹 서버 서블릿 내부 또는 별도의 설정 파일에서 관리
- 다운로드를 제공하는 페이지의 유효 세션 체크 로직 필수 적용
- 다운로드 시 사용되는 파라미터 값 대상으로 아래의 특수 문자를 필터링하도록 웹 방화벽 룰셋 적용
'주요정보통신기반 웹 취약점 분석·평가 항목' 카테고리의 다른 글
| 경로 추적(PT) (0) | 2025.05.26 |
|---|---|
| 관리자 페이지 노출(AE) (0) | 2025.05.26 |
| 파일 업로드(FU) (0) | 2025.05.26 |
| 프로세스 검증 누락(PV) (0) | 2025.05.26 |
| 자동화 공격(AU) (0) | 2025.05.23 |
