[Web] 파일 업로드 (FU)

파일 업로드 취약점 개요 위험도 - 상 점검 목적 - 업로드가 되는 파일의 확장자에 대한 적절성 여부를 검증하는 로직을 통해 공격자가 조작된 Server Side Script 파일 업로드 방지 및 서버 상에 저장된 경로를 유추하여 해당 Server Side Script 파일 실행을 불가능하게 하기 위함 보안 위협 - 해당 취약점 존재 시 공격자가 조작된 Server Side Script 파일을 업로드 하고 실행하여, 쉘 권한 획득 후 홈페이지를 통해 시스템 명령어를 실행하고, 웹 브라우저를 통해 그 결과 값을 보며, 시스템 관리자 권한 획득 또는 인접 서버에 대한 침입을 시도할 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 업로드 되는 파일에 대한 확장자 검증이 이루어지는 경.....