관공서 사이트만든후 취약점 점검을 받았습니다.
지적사항중 php 파일이 업로드 된다는 문구를 보구 테스트해보았는데. 정말 올라가지더라구요.
*.js 파일도 다 올라가서요.
혹시 관리자 에서 확장자 제외 할 수 있나요.
답변 2개 / 댓글 2개
채택된 답변
+20 포인트
5년 전
bbs / write_update.php 파일 552라인 쯤 보면
다음 내용이 있어 확장자가 php , 등을 실행되지 못하게 하는 코드가 있습니다.
// 아래의 문자열이 들어간 파일은 -x 를 붙여서 웹경로를 알더라도 실행을 하지 못하도록 함
$filename = preg_replace("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc)/i", "$0-x", $filename);
이런 방식이 마음에 들지 않고 삭제해 버리고 싶다면 물론 js 등 필터링해야할 파일확장자 포함
if(preg_match("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc|js)/i", $filename))
unlink($filename);
답변에 대한 댓글 1개
5년 전
cuwaaang해당 파일업로드하는 업데이트 페이지에서 제외할수있슴
if($_FILET['~~'] ~~~~ 이러고시작하는거에 확장자 쓰여진곳 봐보세요
답변에 대한 댓글 1개
답변을 작성하려면 로그인이 필요합니다.
감사합니다.