파일 업로드 취약점 대응 방안(보안코딩)

[원천적 대응]

• 업로드 폴더를 웹 폴더가 아닌 다른 장소에 위치
• 웹 폴더 내부 위치시 웹 사이트에서 직접적 호출 가능
• 업로드 폴더 실행 권한 제거

[완화적 대응]

• 업로드 가능한 파일 확장자 제한
  • 필터링이 완벽하지 못하다면 우회 수단 존재 할 수 있음
• 업로드 파일명을 랜덤한 값으로 임의로 변경하여 파일명 예측 못하도록 함
• 업로드 디렉토리에 서버 스크립트 언어를 사용하지 못하도록 설정, 웹 쉘 업로드 되었더라도 실행 불가 함.

[확장자 우회 대응 실습]

• Directory 지시자 : 지정한 디렉토리 내 모든 파일 서비스와 기능 허용 및 거부 설정하는 지시자
• 'pip_admin_flag engine off' : PHP 모듈이 해당 디렉토리 내에서 실행하지 않도록 설정

• PHP 파일이 실행되지 않고 다운로드 하도록 변경 됨