다운로드 취약점 썸네일형 리스트형 첨부파일 다운로드/업로드 취약점 게시글, 결재 문서 등 첨부파일을 업로드가 가능한 페이지 일 경우 업로드가 가능한 파일 확장자를 화이트 리스트로 관리하거나, 업로드가 불가능한 파일 확장자를 블랙 리스트로 관리하여야 합니다. 예를들어 사용자 정보를 탈취하는 악성 실행파일이 업로드가 가능하다고 가정해봅시다.악성 파일을 업로드 후 해당 파일의 URL을 브라우져에서 입력을 하게되면 악성파일이 실행되게 되며, 사용자 정보가 해커에게 고스란히 전달되게 됩니다. 악성 파일이 업로드가 가능하다고 할 지라도 URL 등을 통하여 실행을 하지 못하게 막는다면 사용자 정보가 유출되지는 않을것입니다. (물론악성 파일을 업로드 가능하게끔 허용하라는 말은 아닙니다.) 1. 첨부파일 업로드를 제한해야하는 확장자 (차후 리스트 갱신 예정) - 업로드가 불가능한 확장.. 더보기 이전 1 다음
