제한된 디렉터리로의 경로명 부적절한 제한 (경로 탐색)

DAST 브라우저 검사 22.1 - 경로 탐색 취약점의 설명, 해결 방법 및 세부 정보를 설명합니다.

설명 # 이 취약점은 URL 엔드포인트의 파라미터에 페이로드를 삽입하여 임의의 파일을 읽을 수 있도록 허용함으로써 악용될 수 있습니다. 이를 통해 민감한 파일을 읽거나, 다른 사용자의 데이터에 접근하거나, 추가적인 시스템 접근 권한을 얻기 위한 공격에 활용될 수 있습니다. 해결 방법 # 사용자 입력값은 파일 시스템과 상호작용하기 위한 경로나 파일을 구성하는 데 절대 사용되어서는 안 됩니다. 여기에는 사용자 업로드 또는 다운로드로 제공된 파일명도 포함됩니다. 가능하다면, 파일명을 해싱하고 사용자나 다른 시스템 구성 요소가 제공한 파일명에 직접 접근하는 대신 데이터베이스나 데이터 저장소에서 해시된 파일명을 참조하는 것을 고려하십시오. 애플리케이션이 반드시 파일명을 처리해야 하는 드문 경우에는, 제공된 값에서 파일명 부분만을 추출하기 위해 언어에서 제공하는 기능을 사용하십시오. 사용자 입력에서 오는 경로나 디렉터리 정보는 절대 사용하지 마십시오. 세부 정보 # ID 집계 CWE 유형 위험