파일다운로드 취약점 - Path Traversal

다운로드 대상 파일의 디렉토리를 벗어나 다른경로에 있는 파일까지 접근해 파일을 다운로드하거나 접근 가능한 것. 조치가이드 파일 다운로드시 허용된 경로 이외의 접근을 차단하고 특정 디렉토리의 파일만 다운로드가 가능하도록 설정 파일 경로 및 파일명을 데이터베이스에 저장하여 파일 다운로드 수행시, 파일 경로와 이름을 검증하도록 조치 다운로드 시 사용자 요청 메시지에 포함된 경로 조작 문자(.., /, \) 필터링 조치 - Path Traversal 문자열 체크 @ 서버단에서 상위 디렉토리로 이동하는 ../ 또는 ..\\ 문자열 존재여부를 확인한다. // Java String strFullPath = request.getParameter("filePath") + request.getParameter("fileN..

2023.05.31