삶 가운데 남긴 기록 AACII.TISTORY.COM

Path Traversal 디렉토리 경로 조작 상대 디렉토리 경로 조작(Relative Path Traversal) 외부 입력으로 디렉터리 경로 문자열 생성이 필요한 경우 외부 입력을 필터링 하지 않으면 시스템 경로 조작이나 시스템 정보 유출, 장애, 권한 획득 등을 유발할 수 있습니다. 외부 입력에 대해서 다른 디렉터리 파일에 접근 할 수 없도록 replaceAll() 등을 이용하여 위험한 물자열(", / \ 등)을 제거해서 방어합니다. 외부 입력은 받더라도 내부 처리는 미리 정의해 놓은 데이터(경로)를 사용합니다. 안전하지 않은 예 public void accessFile(Properties request){ ... String name = request.getProperty("filename"); ..