테스트 사이트 - 개발 중인 베타 버전입니다
SIR
목록으로
이전글 다음글

php 첨부파일 업로드 채택완료

위드아이 5년 전 조회 4,634
답변 2
목록

 

관공서 사이트만든후 취약점 점검을 받았습니다.

지적사항중 php 파일이 업로드 된다는 문구를 보구 테스트해보았는데. 정말 올라가지더라구요.

*.js 파일도 다 올라가서요.

 

혹시 관리자 에서 확장자 제외 할 수 있나요.

#php #js
댓글을 작성하려면 로그인이 필요합니다.

답변 2개

채택된 답변
+20 포인트
평정심
5년 전

bbs / write_update.php 파일 552라인 쯤 보면

다음 내용이 있어 확장자가 php ,  등을 실행되지 못하게 하는 코드가 있습니다.

// 아래의 문자열이 들어간 파일은 -x 를 붙여서 웹경로를 알더라도 실행을 하지 못하도록 함 $filename = preg_replace("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc)/i", "$0-x", $filename);

 

이런 방식이 마음에 들지 않고 삭제해 버리고 싶다면 물론 js 등 필터링해야할 파일확장자 포함

 

if(preg_match("/\.(php|pht|phtm|htm|cgi|pl|exe|jsp|asp|inc|js)/i", $filename)) 

    unlink($filename);

로그인 후 평가할 수 있습니다

답변에 대한 댓글 1개

위드아이
5년 전
참고가 많이된 소스입니다. 적용하는대 해결이 되었어요.
감사합니다.

댓글을 작성하려면 로그인이 필요합니다.

cuwaaang
cuwaaang
5년 전

해당 파일업로드하는  업데이트 페이지에서 제외할수있슴

 

if($_FILET['~~'] ~~~~ 이러고시작하는거에 확장자 쓰여진곳 봐보세요

로그인 후 평가할 수 있습니다

답변에 대한 댓글 1개

위드아이
5년 전
감사합니다. 덕분에 쉽게 해결했습니다.

댓글을 작성하려면 로그인이 필요합니다.

답변을 작성하려면 로그인이 필요합니다.

로그인