보안문제로 게시판 첨부파일 다운로드 처리 시에 절대경로로 처리해야한다고하는데요
본문
업체에서 아래와 같은 지시사항을 받았는데요..
게시판에서 파일을 다운로드 받을때 상대경로로 디렉토리를 이동하는 것이라 보안 정책에 위배된다는데요 ㅡㅡ;;
어떻게 처리해야할요... 도움 부탁드립니다.
문제가 된 사항은 다운로드 처리시 상대경로(../)를 사용하여 상위 디렉토리로 이동하는 방식을 사용하고 있어
웹 공격 패턴인 디렉토리 리스팅 공격으로 탐지된 사항입니다.
GET /system/hpbbs/login.php?wr_id=59&&page=0&url=../hpbbs/board.php
본 사항은 상대경로가 아닌 절대경로로 처리하셔야 보안 정책에 위배되지 않을 것 같습니다.
본 사항은 상대경로가 아닌 절대경로로 처리하셔야 보안 정책에 위배되지 않을 것 같습니다.
답변 1
GET /system/hpbbs/login.php?wr_id=59&&page=0&url=../hpbbs/board.php
url값을
url=<?=$g4['url']?>/<?=$g4['bbs']?>/board.php
이렇게 하시면 되겠는데요
url값을
url=<?=$g4['url']?>/<?=$g4['bbs']?>/board.php
이렇게 하시면 되겠는데요
감사합니다. (_ _)
답변을 작성하시기 전에 로그인 해주세요.
