경로조작 및 자원삽입

외부 입력값을 검증, 제한하지 않고 서버 자원의 식별자로 사용하는 경우 발생

→ 의도하지 않은 자원 생성 및 참조가 발생

→ 정상적인 서비스 실행을 방해하거나 시스템 장애를 유발

→ 파일 자원인 경우 지정한 경로 밖(=권한 밖)의 파일에 접근이 가능 = 경로조작

 

 

 

 

[방어기법]

• 자원 식별자를 미리 정의하고 정의된 범위 내에서 사용할 수 있도록 제한한다. = 화이트 리스트 방식의 입력값 제한
• 외부 입력값을 내부 처리에 직접 사용하지 않고, 내부에 정의된 값을 맵핑하는 용도로 사용 ⇒ 캡슐화 및 입력값 제한을 동시에 제공
• 외부 입력값이 파일 경로로 사용되는 경우, 경로 조작 문자열( . .. / \ ) 포함 여부를 확인 후 사용할 수 있도록 한다.

 

 

다음 진단결과의 정오탐 여부를 판정하고 판정근거를 기술하시오. 

 

 

정탐

Service No로 -2920이 전달되면 80 포트를 사용할 수 있게 되고, 정상적인 웹 서비스를 방해할 수 있음

서비스에 사용할 포트를 미리 정의하고 정의된 범위 내에서 사용될 수 있도록 09~14라인을 아래와 같이 수정