경로 조작 및 자원 삽입 - 소프트웨어 보안 가이드

검증되지 않은 외부 입력값을 통해 파일 및 서버 등 시스템 자원에 대한 접근 혹은 식별을 허용할 경우, 입력값 조작을 통해 시스템이 보호하는 자원에 임의로 접근할 수 있는 보안약점.

 

경로 조작 및 자원 삽입 약점을 이용하여 공격자는 자원의 수정․삭제, 시스템 정보 누출, 시스템 자원 간 충돌로 인한 서비스 장애 등을 유발할 수 있다. 즉, 경로 조작 및 자원 삽입을 통해서 공격자가 허용되지 않은 권한을 획득하여, 설정에 관계된 파일을 변경하거나 실행시킬 수 있음.

보안 대책

외부의 입력을 자원(파일, 소켓의 포트 등)의 식별자로 사용하는 경우, 적절한 검증을 거치도록 하거나, 사전에 정의된 적합한 리스트에서 선택되도록 한다.

 

특히, 외부의 입력이 파일명인 경우에는 경로순회(directory traversal) 공격의 위험이 있는 문자( “ / ￦ .. 등 )를 제거할 수 있는 필터를 이용한다.

사진과 같이 replaceAll 을 사용하여 공격 위험이 있는 문자를 제거 해주도록 하자 !!