[시큐어코딩 가이드] 2-1-6. 위험한 형식 파일 업로드

위험한 형식 파일 업로드 정의 서버 측에서 실행 가능한 스크립트파일(asp, jsp, php 등)이 업로드 가능하고 이 파일을 공격자가 웹을 통해 직접 실행시킬수 있는 경우, 시스템 내부 명령어를 실행하거나 외부와 연결해 시스템을 제어할 수 있는 보안약점 공격자가 실행 가능한 파일을 서버에 업로드하면 eval()과 exec()를 같이 사용해 여러 변수들을 동적으로 값을 할당받아 실행될 수 있어 웹쉘 공격에 취약 안전한 코딩기법 특정 파일 유형만 허용하도록 화이트리스트 방식으로 파일 유형을 제한해야 한다. 파일 크기 및 파일 개수를 제한하여 시스템 자원 고갈 등으로 서비스 거부 공격이 발생하지 않도록 제한해야 한다. 업로드 된 파일을 저장할 경우에는 최소 권한만 부여하는 것이 안전하다. 코드예제 업로드 할..