제한된 디렉터리로의 경로명의 부적절한 제한 (경로 이탈)

설명

이 취약점은 URL 엔드포인트의 매개변수에 페이로드를 삽입함으로써 임의의 파일을 읽을 수 있게 하는 것으로 악용될 수 있습니다. 이를 통해 민감한 파일을 읽거나, 다른 사용자의 데이터에 접근하거나, 추가 시스템 액세스를 얻는 데 도움을 줄 수 있습니다.

사용자 입력은 파일 시스템과 상호 작용하는 경로나 파일을 구성하는 데 사용해서는 안 됩니다. 이에는 사용자 업로드 또는 다운로드로 공급된 파일명도 포함됩니다.

가능한 경우 파일명을 해싱하고, 해시된 파일명을 데이터베이스나 데이터 저장소에 참조하여 사용자나 다른 시스템 구성 요소가 제공한 파일명에 직접 액세스 시도 대신하는 것을 고려해 보세요.

애플리케이션이 파일명과 작업해야 하는 드문 경우에는 제공된 값의 파일명 부분만 추출하기 위해 언어에서 제공하는 기능을 사용하세요. 절대로 사용자 입력에서 나오는 경로나 디렉터리 정보를 사용하려고 시도해서는 안 됩니다.

ID	Aggregated	CWE	Type	Risk
22.1	false	22	Active	high

모든 GitLab Tier와 기능을 보거나 업그레이드하려면
가격 페이지를 확인하세요.

GitLab을 무료로 체험해 30일 동안 모든 기능에
액세스해 보세요.

기능을 설정하거나 사용하는 데 문제가 있으면
인포그랩에 지원을 요청하세요.
(GitLab 구독에 따라 다름)