경로 제한이 부적절한 파일 경로 공격(Path traversal)

설명

이 취약점은 URL 엔드포인트의 매개변수에 페이로드를 삽입하여 임의의 파일을 읽을 수 있는 것을 허용하기 때문에 악용될 수 있습니다. 이는 민감한 파일을 읽거나, 다른 사용자 데이터에 액세스하거나, 추가적인 시스템 액세스 확보를 위해 악용될 수 있습니다.

사용자 입력은 파일 시스템과 상호 작용하기 위해 경로나 파일을 구성하는 데 사용해서는 안 됩니다. 이에는 사용자 업로드 또는 다운로드로 제공된 파일명도 포함됩니다.

가능하다면 파일명을 해싱하고, 해당 해시된 파일명을 데이터베이스나 데이터 저장소에 참조하여 사용자나 다른 시스템 구성 요소에서 제공된 파일명에 직접 액세스하는 대신에 사용해야 합니다.

응용 프로그램이 파일명을 처리해야 하는 드문 경우에는 제공된 값의 파일명 부분만 추출하기 위해 언어에서 제공하는 기능을 사용해야 합니다. 절대로 사용자 입력에서 가져온 경로나 디렉터리 정보를 사용하려고 시도해서는 안 됩니다.

ID	집계됨	CWE 번호	유형	위험
22.1	false	22	Active	높음

모든 GitLab Tier와 기능을 보거나 업그레이드하려면
가격 페이지를 확인하세요.

GitLab을 무료로 체험해 30일 동안 모든 기능에
액세스해 보세요.

기능을 설정하거나 사용하는 데 문제가 있으면
인포그랩에 지원을 요청하세요.
(GitLab 구독에 따라 다름)

Footer Component