php 첨부파일 업로드
본문
관공서 사이트만든후 취약점 점검을 받았습니다.
지적사항중 php 파일이 업로드 된다는 문구를 보구 테스트해보았는데. 정말 올라가지더라구요.
*.js 파일도 다 올라가서요.
혹시 관리자 에서 확장자 제외 할 수 있나요.
답변 2
bbs / write_update.php 파일 552라인 쯤 보면
다음 내용이 있어 확장자가 php , 등을 실행되지 못하게 하는 코드가 있습니다.
// 아래의 문자열이 들어간 파일은 -x 를 붙여서 웹경로를 알더라도 실행을 하지 못하도록 함
$filename = preg_replace("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc)/i", "$0-x", $filename);
이런 방식이 마음에 들지 않고 삭제해 버리고 싶다면 물론 js 등 필터링해야할 파일확장자 포함
if(preg_match("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc|js)/i", $filename))
unlink($filename);
해당 파일업로드하는 업데이트 페이지에서 제외할수있슴
if($_FILET['~~'] ~~~~ 이러고시작하는거에 확장자 쓰여진곳 봐보세요
답변을 작성하시기 전에 로그인 해주세요.