IIS 첨부파일 다운로드/업로드 취약점 조치방안

 게시글, 결재 문서 등 첨부파일을 업로드가 가능한 페이지 일 경우 업로드가 가능한 파일 확장자를 화이트 리스트로 관리하거나, 업로드가 불가능한 파일 확장자를 블랙 리스트로 관리하여야 합니다.

  예를들어 사용자 정보를 탈취하는 악성 실행파일이 업로드가 가능하다고 가정해봅시다.

악성 파일을 업로드 후 해당 파일의 URL을 브라우져에서 입력을 하게되면 악성파일이 실행되게 되며, 사용자 정보가 해커에게 고스란히 전달되게 됩니다.  

 악성 파일이 업로드가 가능하다고 할 지라도 URL 등을 통하여 실행을 하지 못하게 막는다면 사용자 정보가 유출되지는 않을것입니다. (물론악성 파일을 업로드 가능하게끔 허용하라는 말은 아닙니다.)

1. 첨부파일 업로드를 제한해야하는 확장자 (차후 리스트 갱신 예정)

   - 업로드가 불가능한 확장자를 블랙리스트로 관리하여, 클라이언트 및 서버측에서 모두 체크하여 업로드를 막아야 합니다.

확장자 명	비고	확장자명	비고
.exe	실행파일	.dll	dll 파일
.jsp	jsp 파일	.jspx	jspx 파일
.php	php 파일	.asp	asp 파일
.aspx	aspx 파일	.java	java 파일
.bat	bat 파일	.pdb	pdb 파일
.vbs	vbs 파일

 

2. 업로드된 악성 파일 실행을 막는 방법 (IIS)

   2-1. 처리맵핑기에서 읽기 권한만 하용 (실행 권한 제거)

 

    2-2. 요청필터링에서 제한할 확장자를 추가