목록경로조작 개발자도구 (1)
겉바속촉
[보안] 경로조작
다운로드 기능 구현시 유의사항 외부 입력값이 서버 내부 파일을 참조하는 용도로 사용되는 경우(= 파일 식별자로 사용되는 경우), 경로 조작 문자열(. .. / \ 등) 포함 여부를 확인하지 않고 사용하여 권한 밖의 파일에 접근할 수 있는 취약점 download.jsp?filename=/data/upload/cat.jpeg ---> 파일의 저장 경로가 노출되는 문제점 ~~~~~~~~~~~~ File f = new File(filename); f.read(...) download.jsp?filename=cat.jpeg ~~~~~~~~~~~~ File f = new File("/data/upload/" + filename); ---> 물론 위의 경로와 결론은 동일하지만 캡슐화를 했다는 것이 차별점 f.read..
IT 일기 (상반기)/네트워크 및 시스템 보안
2021. 2. 12. 16:46