file vulnerability 정리

File Upload Vulnerability

공격자의 파일을 웹 서비스의 파일 시스템에 업로드하는 과정에서 발생하는 보안 취약점

원하는 시스템 커맨드를 실행하는 원격 코드 실행 취약점을 유발

이용자가 업로드될 파일의 이름을 임의로 정할 수 있을 때 발생

Path Traversal과 악성 파일 업로드로 분류

 

Path Traversal

업로드에 존재하는 이러한 제약을 우회하여, 임의 디렉터리에 파일을 업로드할 수 있는 취약점

악성 파일 업로드 취약점

이용자가 파일을 업로드할 때, 이를 제대로 검사하지 않아서 발생하는 취약점

 

 

File Download Vulnerability

웹 서비스의 파일 시스템에 존재하는 파일을 다운로드 하는 과정에서 발생하는 보안 취약점

설정 파일, 패스워드 파일, 데이터 베이스 백업 본 등을 다운로드 하여 민감한 정보를 탈취할 수 있고 2차 공격을 수행

이용자가 다운로드할 파일의 이름을 임의로 정할 수 있을 때 발생