파일 업로드(FU)
- 파일을 업로드 할 수 있는 기능을 이용하여 시스템 명령어를 실행할 수 있는 웹 프로그램을 업로드 할 수 있는 취약점으로 만일 파일의 확장자에 대한 적합성 여부를 검증하지 않으면 공격자가 조작한 파일을 업로드하고 업로드 된 파일이 서버상에 지정된 경로를 유추한 후 쉘을 획득할 수 있고 서버의 권한이 노출 될 수 있다. 쉘 권환 획득 후 시스템 명령어를 사용해 관리자 권한이나 서버로 침입을 할 수 있다.
판단기준
양호 : 업로드 파일 확장자 검증
취약 : 업로드 파일 확장자 검증X
파일 업로드 대응방안
- 업로드 파일 확장자 검증 로직 구현
- 실행 권한 제거
'web' 카테고리의 다른 글
| 관리자 페이지 노출(AE) (0) | 2021.10.02 |
|---|---|
| 파일 다운로드(FD) (0) | 2021.10.02 |
| 프로세스 검증 누락(PV) (0) | 2021.10.01 |
| 자동화공격(AU) (0) | 2021.10.01 |
| 세션 고정 (SF) (0) | 2021.09.30 |