php 첨부파일 업로드

php 첨부파일 업로드

QA

php 첨부파일 업로드

본문

 

관공서 사이트만든후 취약점 점검을 받았습니다.

지적사항중 php 파일이 업로드 된다는 문구를 보구 테스트해보았는데. 정말 올라가지더라구요.

*.js 파일도 다 올라가서요.

 

혹시 관리자 에서 확장자 제외 할 수 있나요.

이 질문에 댓글 쓰기 :

답변 2

bbs / write_update.php 파일 552라인 쯤 보면

다음 내용이 있어 확장자가 php ,  등을 실행되지 못하게 하는 코드가 있습니다.

// 아래의 문자열이 들어간 파일은 -x 를 붙여서 웹경로를 알더라도 실행을 하지 못하도록 함
$filename = preg_replace("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc)/i", "$0-x", $filename);

 

이런 방식이 마음에 들지 않고 삭제해 버리고 싶다면 물론 js 등 필터링해야할 파일확장자 포함

 

if(preg_match("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc|js)/i", $filename)) 

    unlink($filename);

해당 파일업로드하는  업데이트 페이지에서 제외할수있슴

 

if($_FILET['~~'] ~~~~ 이러고시작하는거에 확장자 쓰여진곳 봐보세요

답변을 작성하시기 전에 로그인 해주세요.
전체 123,314 | RSS
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT