[Web] SSI 인젝션 (SS)

SSI 인젝션 취약점 개요 위험도 - 상 점검 목적 - 적절한 입력값 검증 절차를 마련하여 악의적인 파일을 include 시켜 명령문이 실행되게 함으로 불법적으로 데이터에 접근할 수 있음 보안 위협 - 해당 취약점이 존재할 경우 웹서버 상에 있는 파일을 include 시켜 명령문이 실행되게 함으로 불법적으로 데이터에 접근할 수 있음 - 공통 SSI 구현은 외부의 파일을 include 할 수 있는 명령어를 제공하며, 웹 서버의 CGI 환경 변수를 설정하고 출력할 수 있고, 외부의 CGI 스크립트나 시스템 명령어들을 실행할 수 있으므로 사용자 압력 값에 대한 검증 로직을 추가로 구현하여야 함 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 사용자 입력 값에 대한 검증이 이루어지는 경우 - .....