2021/05/20
네트워크·보안/정보보안기사
2021. 5. 20.
[정보보안기사] 03.어플리케이션 보안 - 기타 취약점
[정보보안기사] 03.어플리케이션 보안 - 기타 취약점 기타 취약점 구분 취약점 판단 대응 방법 Command Execution - html form 등 입력가능 폼에 시스템 명령어를 삽입해 실행되면 취약 - 사용자 입력값 검증 - 시스템 명령어 삽입 차단 shell_exec(), passthru() exec(), system() - 필요한 명령어는 화이트리스트 정의 File Upload - 파일 업로드가 가능한 게시판 등에 웹쉘 업로드 - 업로드 파일 확장자에 대한 필터링 - 파일저장 전용 디렉토리 설정 - 웹쉘 실행 안되도록 처리 File Download - 정상적인 파일 다운로드 후 URL 파라미터 확인 - 정상적인 경로 이외의 경로로 파일 다운로드 - 허용하는 경로외 디렉토리, 파일 접근 불가 -..