파일 다운로드(FD)
- 공격자는 파일 다운로드 스크립트를 이용하여 첨부된 주요 파일을 다운로드 할 수 있는 취약점으로, 홈페이지 상에서 파일을 다운받는 cgi, jsp, php, php3 등의 프로그램에서 입력되는 경로를 체크하지 않는 경우, 임의의 문자나 주요 파일명의 입력을 통해 웹 서버의 홈 디렉토리를 벗어나서 임의의 위치에 있는 파일을 열람하거나 다운받는 것이 가능할 수 있다.
판단기준
양호 : 다운로드 파일이 저장된 디렉터리 이외에 접근 불가
취약 : 다운로드 파일이 저장된 디렉터리 이외에 접근 가능
파일 다운로드 대응방안
- 경로 탐색에 제한
- 사용자가 조작할 수 있는 변수 제거
- 다운로드시 접근 경로 이외의 디렉터리와 파일에 접근할 수 없도록 구현
'web' 카테고리의 다른 글
| 경로 추적(PT) (0) | 2021.10.02 |
|---|---|
| 관리자 페이지 노출(AE) (0) | 2021.10.02 |
| 파일 업로드(FU) (0) | 2021.10.01 |
| 프로세스 검증 누락(PV) (0) | 2021.10.01 |
| 자동화공격(AU) (0) | 2021.10.01 |