파일 업로드 확장자 검증
1. 파일 업로드 취약점이란 파일 업로드 시 확장자를 검증하는 이유는 주로 게시판 등에서 파일 업로드 기능을 악용하여 시스템 권한을 획득할 수 있는 취약점을 의미한다. 악성 스크립트가 업로드된 후, 서버상에서 스크립트를 실행하여 쉘을 획득하는 등의 행위로 서버를 장악할 수 있다. 즉, 흔히 말하는 웹쉘의 업로드를 통해 시스템의 권한을 장악한다는 이야기이다. 그렇다면 어떤 파일들이 웹에서 구동되는가? 웹 서버에서 실행 가능한 확장자는 다음과 같다. 언어 확장자 asp, aspx asp, aspx, htm, html, asa php phtml, php, php3, php4, php5, inc, htm, html jsp, java jsp, jspx, jsw, jsv, jspf, htm, html perl pl..
2022. 12. 28.
