파일업로드 확장자 체크 및 webshell 취약점 문의
- 작성자 :
- 육*영
- 작성일 :
- 2017-11-16 10:46:43
- 조회수 :
- 1,521
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
그림파일이나 PDF 파일 내부에 소스코드를 삽입하여 업로드할경우 보안상 취약점이 발생한다고 알고있습니다.
이런 취약점을 해결하기위해 표준프레임워크에 아래와 같은 기능이 있는지
1. 파일 업로드시 파일 확장자를 체크하는 기능
2. 파일에서 확장자가 아닌 mime-type / contentType 체크하는 기능
아니면 직접 파일관리하는 클래스에 구현해야하는것인지 궁금합니다.
만약 기능이 있다면 표준프레임워크 어느버전부터 있는지 없다면 참고할만한 자료를 알려주세요. 감사합니다.
이런 취약점을 해결하기위해 표준프레임워크에 아래와 같은 기능이 있는지
1. 파일 업로드시 파일 확장자를 체크하는 기능
2. 파일에서 확장자가 아닌 mime-type / contentType 체크하는 기능
아니면 직접 파일관리하는 클래스에 구현해야하는것인지 궁금합니다.
만약 기능이 있다면 표준프레임워크 어느버전부터 있는지 없다면 참고할만한 자료를 알려주세요. 감사합니다.
A
안녕하십니까, 육치영님
표준프레임워크센터입니다.
eGovFrame은 취약점에 대한 조치가 적용된 부분도 있지만,
많은 시스템에서 취약점에 따라 각각 커스터마이징 되어서 사용되고 있습니다.
보안 취약점의 경우 해당 점검 툴이나 기관에 따라 점검 방식 및 결과가 다르기 때문에,
표준으로 방식을 제공하기 보다는 해당 점검툴 밴더사나 기관이 제공해주는 조치 가이드를 적용하시도록 가이드해드리고 있습니다.
결과적으로 제공 받으신 가이드에 맞게 적용하셔서 커스터마이징 하시면 될 것 같습니다.
감사합니다.
좋은 하루되시기 바랍니다.
표준프레임워크센터입니다.
eGovFrame은 취약점에 대한 조치가 적용된 부분도 있지만,
많은 시스템에서 취약점에 따라 각각 커스터마이징 되어서 사용되고 있습니다.
보안 취약점의 경우 해당 점검 툴이나 기관에 따라 점검 방식 및 결과가 다르기 때문에,
표준으로 방식을 제공하기 보다는 해당 점검툴 밴더사나 기관이 제공해주는 조치 가이드를 적용하시도록 가이드해드리고 있습니다.
결과적으로 제공 받으신 가이드에 맞게 적용하셔서 커스터마이징 하시면 될 것 같습니다.
감사합니다.
좋은 하루되시기 바랍니다.