경로 제한의 부적절한 경로 이름 설정(Path traversal)

설명

이 취약점은 URL 엔드포인트의 매개변수에 페이로드를 삽입함으로써 임의 파일을 읽을 수 있는 가능성을 허용하기 때문에 악용될 수 있습니다. 이는 민감한 파일을 읽는 데 사용될 수 있으며 다른 사용자의 데이터에 액세스하거나 추가 시스템 액세스를 얻는 데 돕는 데 사용될 수 있습니다.

복구

사용자 입력은 절대 파일 시스템과 상호 작용하기 위해 경로 또는 파일을 구성하는 데 사용되어서는 안 됩니다. 이에는 사용자 업로드 또는 다운로드로 공급된 파일 이름도 포함됩니다.

가능하다면 파일 이름을 해싱하고 해시된 파일 이름을 데이터베이스 또는 데이터 리포지터리에 참조하여 직접적으로 사용자나 다른 시스템 컴포넌트에서 제공된 파일 이름에 직접 액세스하려는 대신 사용하세요.

애플리케이션이 파일 이름과 작업해야 하는 드문 경우에는 제공된 값의 파일 이름 부분만 추출하는 언어에서 제공되는 기능을 사용하세요. 사용자 입력에서 나온 경로 또는 디렉터리 정보를 사용하려고 시도해서는 안 됩니다.

Details

ID	Aggregated	CWE	Type	Risk
22.1	false	22	Active	high

Links

GitLab 원문 보기

도움말

기능 사용 가능성과 제품 평가판

모든 GitLab Tier와 기능을 보거나 업그레이드하려면
가격 페이지를 확인하세요.

GitLab을 무료로 체험해 30일 동안 모든 기능에
액세스해 보세요.

도움받기

기능을 설정하거나 사용하는 데 문제가 있으면
인포그랩에 지원을 요청하세요.
(GitLab 구독에 따라 다름)

지원 요청하기