파일 삽입 (File Inclusion) 취약점

(1) 개요

- 공격자가 악성 서버 스크립트를 서버에 전달하여 해당 페이지를 통해 악성 코드가 실행되도록 하는 취약점

- 삽입할 악성 서버 스크립트 파일의 위치가 로컬 서버에 위치하는지 원격지에 위치하는지에 따라 LFI(Local File Inclusion)와 RFI(Remote File Inclusion)로 나누어진다.

 

(2) 취약점

- LFI

> include 함수는 지정한 파일을 현재 페이지에 포함시켜 실행시켜주는 함수이다. 따라서 개발의 편리함은 줄 수 있지만외부로부터 파일/페이지 정보를 입력받을 때 적절한 검증을 수행하지 않으면 악성 스크립트를 포함한 페이지가 include되어 피해가 발생할 수 있다.

 

- RFI

> 공격자 서버에 있는 원격파일을 URL 파라미터에 포함시켜 전달, 해당 파일이 include되어 웹쉘이 실행된다.

 

(3) 대응책

- 관리자는 소스코드에 include, require 등의 구문/함수가 존재하는지 검증하고, 만약 사용자의 입력값을 통해 파일명이 결정된다면 외부의 악의적인 파일이 포함되어 실행되지 않도록 PHP 설정 파일인 php.ini 파일에서 allow_url_fopen을 off 설정하여준다.