코스모스팜 스레드
웹 취약점 점검 관련 이슈로 글 남깁니다.
안녕하세요 워드프레스로 사이트를 만들고 kboard로 게시판을 꾸렸습니다.
웹 취약점 점검을 해봤는데 경로 조작 관련 이슈가 발견 됐습니다.
첨부된 파일이 다운로드 되는 부분에서 경로가 조작될 수 있는 보안 버그입니다.
경로 조작 취약점은 사용자의 입력 값이 디렉토리 경로 문자열에 사용되어 웹 애플리케이션의 최상단 디렉토리 밖의 파일 시스템이 노출되는 취약점입니다. 공격자는 대부분의 파일 시스템에서 부모 디렉토리를 나타내는 ".."와 디렉토리를 나타내는 "/" 등을 디렉토리 경로 문자열에 사용되는 입력 값으로 넣을 수 있습니다. 그 결과 공격자는 웹 애플리케이션의 최상단 디렉토리 밖의 파일 시스템에 접근하여 웹 애플리케이션의 소스 코드나 시스템 파일 등의 중요한 정보를 탈취 할 수 있습니다. 이를 해결하기 위해서는 사용자의 입력 값을 파일 시스템의 파일 및 디렉토리 접근에 사용하지 말아야 합니다. 만약 사용해야 한다면 파일 시스템에서 의미를 가지는 ".."이나 "/"와 같은 특수 문자를 변경해서 사용해야 합니다.
이렇게 안내되고 있구요.
이 부분 처리 방법 전달이나 패치 가능한지 여쭤봅니다.
관련해서 정확한 내용을 받으시려면 메일 주소 남겨주세요. 전달해드리겠습니다.
감사합니다.
