4월 2016

Path Traversal Issue.

Path Traversal Issue. 웹 취약점 중 url/get-file?filename=../../../a.txt 이런식으로 파일 경로를 이용해 서버의 파일을 빼내는 공격이 있다. 구글링해보니 Path Traversal 또는 Directory Traversal 이라고 하는 것 같다. 아무튼 위와 같은 취약점이 제기되어서 Apache 설정을 변경하였고 추가적으로 어플리케이션에서 ../를 필터링 하도록 하였다. Apache 의 설정은 [apache]/conf/httpd.conf 파일의 의 Option 값중 Indexes, SymLink 였나…를 지웠다.