File Upload

※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요. 

File Upload

정의

• 파일 업로드 기능을 악용하여 웹 서버에 악성파일을 업로드 하고, 이를 통해 공격
• 웹 서버에 웹쉘을 업로드 하기 위한 용도로 많이 사용됨

Web Shell

• 공격을 목적으로 제작된 웹 기반의 Shell 프로그램
• 단순한 명령어 실행부터 파일 컨트롤, 리버스 커넥션까지 OS의 거의 모든 기능 수행

방어

• 파일 확장자 검사
• • 업로드 대상 파일의 확장자 검사해서 실행가능 스크립트 ( php, jsp, asp, shtml 등)의 업로드 차단
  • • shell.pHp
    • shell.jpg.php
    • shell.php%00.jpg
    • shell.jpg;.php
• 업로드 파일을 원본 파일명이 아닌 확장자가 없는 임의의 파일명으로 저장
• 파일 업로드 폴더에 실행권한 제거
• 업로드 파일은 웹 서버 폴더가 아닌 다른 경로에 저장
• 업로드 된 파일의 절대 경로가 노출되지 않아야 함
• 업로드 된 파일은 전용 다운로더로 다운되도록 해야 함