English

◀◁ 뒤로 취약점ID 210154 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 시스템의 웹 서버는 중요 파일 다운로드 취약점이 존재한다. 공격자가 파일 다운로드 스크립트를 이용하여 웹 사이트에 포함된 주요 파일을 다운로드 할 수 있는 취약점으로, 홈페이지 상에서 파일을 다운받는 cgi, jsp, php, php3 등의 프로그램에서 입력되는 경로를 체크하지 않는 경우 임의의 문자(../.. 등)나 주요 파일명의 입력을 통해 웹 서버의 홈 디렉터리를 벗어나서 임의의 위치에 있는 파일을 열람하거나 다운받는 것이 가능할 수 있다. * 영향을 받는 플랫폼: Any HTTP server Any version Any operating system Any version 해결책 다음과 같은 조치를 취해야 한다. 1. 프로그램 내에서 파일을 다운받을 수 있는 디렉터리를 특정 디렉터리로 한정하고 이 외의 다른 디렉터리에서는 파일을 다운받을 수 없도록 프로그램을 수정하며, ..\ 등의 하위 경로 탐색은 제한하도록 수정한다. 2. 다운로드 파일 이름을 데이터베이스에 저장하고 다운로드 수행 시 요청 파일 이름과 비교하여 적절한지 확인한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)