게시글, 결재 문서 등 첨부파일을 업로드가 가능한 페이지 일 경우 업로드가 가능한 파일 확장자를 화이트 리스트로 관리하거나, 업로드가 불가능한 파일 확장자를 블랙 리스트로 관리하여야 합니다.
예를들어 사용자 정보를 탈취하는 악성 실행파일이 업로드가 가능하다고 가정해봅시다.
악성 파일을 업로드 후 해당 파일의 URL을 브라우져에서 입력을 하게되면 악성파일이 실행되게 되며, 사용자 정보가 해커에게 고스란히 전달되게 됩니다.
악성 파일이 업로드가 가능하다고 할 지라도 URL 등을 통하여 실행을 하지 못하게 막는다면 사용자 정보가 유출되지는 않을것입니다. (물론악성 파일을 업로드 가능하게끔 허용하라는 말은 아닙니다.)
1. 첨부파일 업로드를 제한해야하는 확장자 (차후 리스트 갱신 예정)
- 업로드가 불가능한 확장자를 블랙리스트로 관리하여, 클라이언트 및 서버측에서 모두 체크하여 업로드를 막아야 합니다.
확장자 명 |
비고 |
확장자명 |
비고 |
.exe |
실행파일 |
.dll |
dll 파일 |
.jsp |
jsp 파일 |
.jspx |
jspx 파일 |
.php |
php 파일 |
.asp |
asp 파일 |
.aspx |
aspx 파일 |
.java |
java 파일 |
.bat |
bat 파일 |
.pdb |
pdb 파일 |
.vbs |
vbs 파일 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2. 업로드된 악성 파일 실행을 막는 방법 (IIS)
2-1. 처리맵핑기에서 읽기 권한만 하용 (실행 권한 제거)
2-2. 요청필터링에서 제한할 확장자를 추가
