업로드 이미지 파일 경로 표출? 문제요.
본문
요즘 이미지 파일로 해킹되고 있다는 소리를 좀들어서요 혹시나 해서 시험해봤는데 게시판 이미지 파일 첨부로 업로드 되지만 그 파일 우클릭해서 주소 복사하면 그대로 그 주소로 이동이 되더라구요. 그래서 혹시 이미지 파일 부분도 다른 확장자 (php,asp 등) 올릴 때처럼 할 순 없나요?? 주소가 바뀌어서 나오던데요. 그 소스가 아마 white_update.php 부분인 것 같은데 도통 어딘지 찾을 수가 없네요.. 도와주세요
답변 1
// 아래의 문자열이 들어간 파일은 -x 를 붙여서 웹경로를 알더라도 실행을 하지 못하도록 함
$filename = preg_replace("/\.(php|phtm|htm|cgi|pl|exe|jsp|asp|inc)/i", "$0-x", $filename);
490라인쯤 이걸 말씀하시나요?
거기에 원하시는 이미지파일 확장자 넣고 테스트해 보시죠.
제가 해 보질 못해 뭐라 말씀드릴 수가 없네요 ㅎㅎ
답변정말감사드립니다 하지만 -x 문제는 아니네요 -x 를 쓴다하더라도 주소 복사를 하면 data/file 에 저장된다는게 나오게되는데 일단 이 경로가 노출된다는게 보안에 위험요소로 자리잡을 수 있어서요 다른 확장자의 경우에는 download.php쪽으로 향하는 주소가 나오더니 그 뒤에는 아마 db연관된 주소?가 뜨더라구요.. 분명 이렇게 바꾸는 소스가 존재할 것 같은데 찾을 수가 없네요ㅜㅠ
답변을 작성하시기 전에 로그인 해주세요.