English

◀◁ 뒤로 취약점ID 210152 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 시스템의 웹 서버는 SSI(Server-Side Includes) 인젝션 공격에 취약하다. SSI(Server-Side Includes) 인젝션은 HTML 문서 내 입력받은 변수값을 서버 측에서 처리할 때 부적절한 명령문이 포함 및 실행되어 서버의 데이터가 유출되는 취약점이다. SSI는 CGI 프로그램을 작성하거나 혹은 서버사이드 스크립트를 사용하는 언어로, 웹 서버가 사용자에게 페이지를 제공하기 전에 구문을 해석하도록 지시하는 역할을 한다. SSI 구현은 외부의 CGI 스크립트나 시스템 명령어들을 실행할 수 있으므로 사용자 입력값에 대한 검증 로직을 추가로 구현해야 한다. * 참고 사이트: https://www.owasp.org/index.php/Server-Side_Includes_(SSI)_Injection * 영향을 받는 플랫폼: Any HTTP server Any version Any operating system Any version 해결책 다음과 같은 조치를 취해야 한다. 1. 사용자 입력으로 사용 가능한 문자들을 정해야 한다. 2. 정해진 문자들을 제외한 나머지 모든 문자들을 필터링 해야 한다. 예를 들어 특수 문자의 경우 다음과 같이 변경해야 한다. < -> %lt; > -> > " -> " ( -> ( ) -> ) # -> # & -> & 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)