공개용 소프트웨어(에디터) 사용 주의 권고 | |||||
작성자 | 정보통신원 | ||||
---|---|---|---|---|---|
조회수 | 1779 | 등록일 | 2019.07.25 | ||
이메일 | |||||
■ 개요 o 최근 공개용 에디터를 기관에 맞게 수정하여 사용 중 보안 취약점으로 인해 웹쉘 업로드 사례 발생 ■ 주요 내용(사례) o 업로드 취약점이 없는 공개용 에디터(SmartEditor) 버전을 기관 환경에 맞도록 수정하여 적용하는 과정에서 보안 취약점 발생 ※ SmartEditor 파일업로드 기능은 PHP버전이며 .NET 환경에서는 ASP프로그램으로 전환 필요 - 공격자가 파일업로드 취약점을 악용하여 원격지에서 DB접근 권한 탈취 가능(웹쉘 업로드) ■ 대응 방안 o 공개용 소프트웨어는 보안 취약점이 없는 최신 버전 사용 o 기관에 맞게 수정* 시 파일 업로드 취약점을 제거한 소스코드 보안 조치 * 예시) 설치 환경 변화(PHP->ASP), 동일 설치환경 내에서 기능 일부 수정, 솔루션 간 데이터 연계 등 - 화이트 리스트 방식으로 허용된 확장자만 업로드 가능하도록 구현 (화이트 리스트 방식 - 업로드 허용할 확장자만 허용하고, 그 이외 확장자는 모두 차단) - 파일 업로드 가능여부를 검증하는 기능은 서버 측에서 검증하도록 구현 - 업로드 되는 파일 이름은 외부 사용자가 추측할 수 없는 문자열로 변경하여 저장하고, 확장자는 실행 불가능한 확장자로 변경하여 저장 - 파일 저장 경로 및 파일 이름은 DB에 저장한 후 인덱스 번호를 사용하여 호출하도록 구현 |