<WEB Hacking> File Vulnerability

파일 공유 서비스를 개발할 때, 이용자가 업로드한 파일을 데이터베이스에 저장하는 것보다 서버의 파일 시스템에 저장하는 것이 개발하기 쉽고, 관리 효율도 높다. 그러나 반대로, 임의의 파일이 다운로드 되는 취약점이나, 악성 웹셸 파일을 업로드하여 임의의 코드를 실행할 수 있는 취약점을 발생시키기도 한다.

 

파일 업로드 취약점(File Upload Vulnerability)	공격자의 파일을 웹 서비스의 파일 시스템에 업로드하는 과정에서 발생하는 보안 취약점으로, 파일 시스템 상 임의의 경로에 원하는 파일을 업로드하거나 악성 확장자를 갖는 파일을 업로드할 수 있을 때 발생한다. 원하는 시스템 명령을 실행하는 원격 코드 실행 취약점을 유발한다.
파일 다운로드 취약점(File Download Vulnerability)	웹 서비스의 파일 시스템에 존재하는 파일을 다운로드하는 과정에서 발생하는 취약점으로, 공격자는 웹 서비스의 파일 시스템에 존재하는 임의의 파일을 다운로드 받을 수 있다. 설정 파일, 패스워드 파일, 데이터베이스 백업 본 등을 다운로드하여 민감한 정보를 탈취할 수 있고, 2차 공격을 수행할 수 있다.

 

■File Upload Vulnerability

파일 업로드 취약점은 웹 서비스를 통해 이용자의 파일을 서버 파일 시스템에 업로드하는 과정에서 발생하는 취약점이며, 이용자가 업로드된 파일의 이름을 임의로 정할 수 있을 때 발생한다. 파일 이름에 이용자가 입력한 문자열을 그대로 사용하거나, 이용자의 이메일, 닉네임 등을 포함시키는 등의 소스 코드 패턴이 이러한 취약점을 발생시킬 수 있다.

파일 업로드 취약점은 크게 Path Traversal과 악성 파일 업로드로 분류된다.

 

· Path Traversal

파일 업로드를 허용하는 대부분의 서비스는 보안을 위해 특정 디렉터리에만 업로드를 허용한다. 만약 이 제한이 없다면, 악의적인 이용자가 웹 서버의 소스 코드나 서버에 있는 중요 시스템 파일을 덮어 쓸 위험이 있다.

Path Traversal 취약점은 업로드에 존재하는 이러한 제약을 우회하여, 임의의 디렉터리에 파일을 업로드할 수 있는 취약점을 말한다.

ex) 

if request.method == 'POST':
    f = request.files['file']
    f.save("./uploads/" + f.filename)

클라이언트가 전송한 파일을 "./uploads"에 저장한다. 그런데 이용자가 입력한 파일 이름을 그대로 사용하기 때문에

Path Traversal에 취약하다. 만약 공격자가 "../" 같은 메타 문자를 사용한다면, uploads를 벗어나 상위 디렉터리에도 파일을 업로드할 수 있다.

 

· 악성 파일 업로드

악성 파일 업로드 취약점은 이용자가 파일을 업로드할 때, 이를 제대로 검사하지 않아서 발생하는 취약점을 말한다.

- 웹 셸

웹 서버는 .php, .jsp, .asp와 같은 확장자의 파일을 CGI(Common Gateway Interface)로 실행하고, 그 결과를 이용자에게 반환한다. 많은 웹 서버들은 파일에 대해 핸들링을 지원한다. 따라서 공격자가 임의의 소스 파일을 해당 확장자로 업로드하고, GET 요청을 보낼 수 있다면 CGI에 의해 해당 코드가 실행되도록 할 수 있다.

 

- 악의적인 웹 리소스

웹 브라우저는 파일의 확장자나 응답의 Content-Type에 따라 요청을 다양하게 처리한다.

만약 요청한 파일의 확장자가 .html이거나, 반환된 Content-Type 헤더가 text/html일 경우 응답은 HTML엔진으로 처리됨

파일의 확장자가 .png, .jpg 등의 이미지 확장자이거나, Content-Type이 image/png일 경우에는 이미지로 렌더링된다.

만일 공격자가 서버에 exploit.html파일을 업로드하고, 이에 접근하는 URL이 "https://example.com/uploads/exploit.html" 이라면, 브라우저는 이를 HTML로 해석한다.

exploit.html에 악의적인 스크립트를 삽입하면 Cross-Site-Scripting(XSS) 공격으로 이어질 수 있다.

 

■File Download Vulnerability

웹 서비스를 통해 서버의 파일 시스템에 존재하는 파일을 내려받는 과정에서 발생하는 취약점으로, 이용자가 다운로드 할 파일의 이름을 임의로 정할 수 있을 때 발생한다.

웹 서비스는 이용자가 업로드한 파일을 다운로드 받거나 이미지를 불러올 때 특정 디렉터리에 있는 파일만 접근하도록 해야한다. Path Traversal을 이용한 파일 다운로드 취약점은 파일 이름을 직접 입력받아 임의의 디렉터리에 있는 파일을 다운로드 받을 수 있는 취약점을 말한다.

ex) 파일 다운로드 취약점이 자주 발생하는 URL 패턴

https://file-download-vulnerability.com/download/?filename=test.txt

https://file-download-vulnerability.com/download/?filename=../../../../../../etc/passwd

https://file-download-vulnerability.com/images.php?filename=a.png

 

업로드 취약점을 막기위해서 개발자는 업로드 디렉터리를 웹 서버에서 직접 접근할 수 없도록 하거나, 업로드 디렉터리에서 CGI가 실행되지 않도록 해야하고 업로드된 파일 이름을 그대로 사용하지 않고 basepath와 같은 함수를 통해 파일 이름을 검증한 후 사용해야 한다. 또한 허용할 확장자를 명시해 그 외의 확장자는 업로드될 수 없도록 해야한다.

 

다운로드 취약점을 막기위해서는 요청된 파일 이름을 basepath와 같은 함수를 통해 검증하거나, 파일 이름과 1:1 맵핑되는 키를 만들어 이용자로부터 파일 이름이 아닌 키를 요청하도록 해야한다.