보안패치 관련 문의 드립니다.
- 작성자 :
- 한*성
- 작성일 :
- 2018-09-28 14:02:17
- 조회수 :
- 1,223
- 구분 :
- 개발환경
- 진행상태 :
- 완료
Q
업로드한 파일 URL에 디렉토리 일부경로 및 파일명이 보이고, 이를 이용하여 업로드한 파일에 접근 가능한 보안 취약점에 대한
문의 드립니다.
현재 EgovWebEditorImageController.java 파일 등 전자정부프레임워크에서 제공하는 클래스를 사용하지는 않으나,
비슷한 형식으로 현재 운영중에 있습니다.
비슷한 문의에 답변해주신 내용을 확인하면
URL: https://www.egovframe.go.kr/uss/olh/qna/QnaInqireCoUpdt.do?menu=5&submenu=4
해당 패치를 적용하게 되면
웹에디터에서 업로드후 이미지 다운로드 URL을 생성하게 되는데
암호화 하여 Base64로 처리하게 됩니다.
따라서 기존과 다른패턴으로
파라미터 부분인 A~z와 0~9의 조합으로된 문자열로 만들어 집니다.
이부분으로 확인이 가능합니다.
이부분에 대한 샘플 url 설명을 부탁드릴수 있을까요?
현재 운영중인 시스템에서 패치방법 가이드 대로 처리하기가 난해한 부분이 많아
핵심적인 부분만 따로 수정/개발이 필요해서 그렇습니다.
예시로 " /SAMPLE_A/SAMPLE_B/sample.png "는
URL전체를 암호화 해서 보여준다는 것인가요?
답변 미리 감사드립니다.
문의 드립니다.
현재 EgovWebEditorImageController.java 파일 등 전자정부프레임워크에서 제공하는 클래스를 사용하지는 않으나,
비슷한 형식으로 현재 운영중에 있습니다.
비슷한 문의에 답변해주신 내용을 확인하면
URL: https://www.egovframe.go.kr/uss/olh/qna/QnaInqireCoUpdt.do?menu=5&submenu=4
해당 패치를 적용하게 되면
웹에디터에서 업로드후 이미지 다운로드 URL을 생성하게 되는데
암호화 하여 Base64로 처리하게 됩니다.
따라서 기존과 다른패턴으로
파라미터 부분인 A~z와 0~9의 조합으로된 문자열로 만들어 집니다.
이부분으로 확인이 가능합니다.
이부분에 대한 샘플 url 설명을 부탁드릴수 있을까요?
현재 운영중인 시스템에서 패치방법 가이드 대로 처리하기가 난해한 부분이 많아
핵심적인 부분만 따로 수정/개발이 필요해서 그렇습니다.
예시로 " /SAMPLE_A/SAMPLE_B/sample.png "는
URL전체를 암호화 해서 보여준다는 것인가요?
답변 미리 감사드립니다.
A
안녕하세요.
표준프레임워크센터입니다.
URL이 기존에는 평문으로 보여졌으나
패치된 부분에서는
경로지정에대한 Escape처리와 암호화 한다음 Base64로 처리하는게 핵심입니다.
따라서
예시로 적어주신
" /SAMPLE_A /SAMPLE_B /sample.png " =>
" tSU9ajPVb3YETrj9%2BuR%2FwxXBuAVsf~~~~~~ " 처럼 변경 처리됩니다.
즉, 경로에대한 Escape처리와 함계 URL이 암호화됩니다.
감사합니다.
표준프레임워크센터입니다.
URL이 기존에는 평문으로 보여졌으나
패치된 부분에서는
경로지정에대한 Escape처리와 암호화 한다음 Base64로 처리하는게 핵심입니다.
따라서
예시로 적어주신
" /SAMPLE_A /SAMPLE_B /sample.png " =>
" tSU9ajPVb3YETrj9%2BuR%2FwxXBuAVsf~~~~~~ " 처럼 변경 처리됩니다.
즉, 경로에대한 Escape처리와 함계 URL이 암호화됩니다.
감사합니다.