File Download 취약점
파일 다운로드 기능 사용 시 경로 및 파일명을 파라미터로 받아 처리하는 경우 임의의 위치에 있는 파일에 접근하여 다운로드 할 수 있는 취약점
파일 다운로드 취약점은 Path Traversal과 비슷하다.
2022.04.04 - [IT/개념] - Path Traversal(Directory Traversal)
Path Traversal(Directory Traversal)
Path(Directory) Traversal 사용자가 입력값을 조정하여 허용되지 않은 경로에 접근하거나 파일을 볼 수 있는 방법 경로 탐색 취약점이라고도 불린다. 이 방법은 Path 방식으로 파일 및 디렉토리를 관리
29223.tistory.com
Path Traversal은 허가되지 않은 디렉토리 파일에 접근하는 공격
파일 다운로드 취약점은 허용되지 않는 파일을 다운로드 할 수 있는 취약점
특정 코드를 입력하여 원하는 디렉토리로 이동하여 파일을 보거나 다운받을 수 있다.
주로 다운로드 기능을 이용하는데 경로 및 파일명을 파라미터로 받는 서비스에서 발생한다.
이를 방지하기 위해서는
다운로드 시 권한의 확인
경로와 관련한 필터링 (../등을 사용하지 못하도록)
파일 경로와 이름을 노출하지 않는 방법 등이 있다
2022.04.05 - [보안/Dreamhack] - Dreamhack: file-download-1
Dreamhack: file-download-1
파일 다운로드 취약점에 관련된 문제인데 저번에 풀버노 pathtraversal과 비슷한 느낌이다. 첫 화면이다. 어떤 역할을 하는지 테스트 하기 위해 아무거나 입력하고 Upload를 눌러본다. 홈 화면에 가보
29223.tistory.com
'IT > 개념' 카테고리의 다른 글
| Path Traversal(Directory Traversal) (0) | 2022.04.04 |
|---|---|
| 쿠키(Cookie)란? (0) | 2022.04.03 |
| Source Map이란? (0) | 2022.03.09 |
| 난독화를 하는 이유 (0) | 2022.03.08 |