[시큐어코딩 가이드] 2-1-3. 경로 조작 및 자원 삽입

경로 조작 및 자원삽입 정의 검증되지 않은 외부 입력값을 통해 파일 및 서버 등 시스템 자원(파일, 소켓의 포트 등)에 대한 접근 혹은 식별을 허용할 경우, 입력값 조작으로 시스템이 보호하는 자원에 임의로 접근할 수 있는 보안약점을 의미한다. subprocess.popen()과 같이 프로세스를 여는 함수, os.pipe()처럼 파이프를 여는 함수, socket 연결 등에서 외부 입력값을 검증 없이 사용할 경우 취약점이 발생할 수 있다. 안전한 코딩기법 입력값을 자원(파일, 소켓의 포트 등)의 식별자로 사용하는 경우 적절한 검증을 거치도록 하거나, 사전에 정의된 리스트에 포함된 식별자만 사용하도록 해야한다. 특히 입력값이 파일명인 경우 필터를 적용해 공격의 위험이 있는 문자(/, \, .. 등)을 제거해야..