Information Security
파일 삽입 (File Inclusion) 취약점 본문
(1) 개요
- 공격자가 악성 서버 스크립트를 서버에 전달하여 해당 페이지를 통해 악성 코드가 실행되도록 하는 취약점
- 삽입할 악성 서버 스크립트 파일의 위치가 로컬 서버에 위치하는지 원격지에 위치하는지에 따라 LFI(Local File Inclusion)와 RFI(Remote File Inclusion)로 나누어진다.
(2) 취약점
- LFI
> include 함수는 지정한 파일을 현재 페이지에 포함시켜 실행시켜주는 함수이다. 따라서 개발의 편리함은 줄 수 있지만외부로부터 파일/페이지 정보를 입력받을 때 적절한 검증을 수행하지 않으면 악성 스크립트를 포함한 페이지가 include되어 피해가 발생할 수 있다.
- RFI
> 공격자 서버에 있는 원격파일을 URL 파라미터에 포함시켜 전달, 해당 파일이 include되어 웹쉘이 실행된다.
(3) 대응책
- 관리자는 소스코드에 include, require 등의 구문/함수가 존재하는지 검증하고, 만약 사용자의 입력값을 통해 파일명이 결정된다면 외부의 악의적인 파일이 포함되어 실행되지 않도록 PHP 설정 파일인 php.ini 파일에서 allow_url_fopen을 off 설정하여준다.
'§IT > 정보보안기사-애플리케이션' 카테고리의 다른 글
HTTP 주요 상태 코드 (0) | 2020.05.26 |
---|---|
데이터베이스(MY-SQL) 취약점 (0) | 2020.04.23 |
개발보안관리 (0) | 2020.04.23 |
Web Proxy (0) | 2020.04.23 |
Comments