[보안취약점] U-40. 서비스관리-웹서비스 파일 업로드 및 다운로드 제한

■ 점검항목 설명

- 악의적인 사용자가 반복 업로드 및 쉘 공격으로 시스템 권한 탈취하거나

- 대용량 파일의 반복 업로드로 서버 자원 고갈시키는 공격의 위험

- 용량 사이즈를 제한함으로써 불필요한 업로드와 다운로드를 방지해 서버의 과부하 예방 및 자원 효율적으로 관리

■ 점검기준

양호	파일 업로드 및 다운로드 파일 사이즈를 제한한 경우
취약	파일 업로드 및 다운로드 파일 사이즈를 제한하지 않은 경우

■ 점검방법

양호

• 설정 파일에 모든 Directory의 LimitRequestBody 값이 0이 아닌 5MB(5242880) 이하로 설정되어있는 경우
• 특정 <Directory>에서 LimitRequestBody 지시자가 존재하지 않으나,
• 상위 디렉터리에서 LimitRequestBody값이 5MB 이하로 설정되어 있는 경우

취약

• LimitRequestBody 값이 0인 설정이 하나라도 존재하는 경우
• LimitRequestBody 값이 5MB 초과인 설정이 하나라도 존재하는 경우
• LimitRequestBody 값이 빈 값인 설정이 하나라도 존재하는 경우 기본값 0
• LimitRequestBody 지시자가 존재하지 않는 경우 

■ 대응방안

경로 : /etc/httpd/conf

파일 : httpd.conf

<Directory />
     LimitRequestBody 5242880
</Directory>

<Directory /home/userdir/>
     LimitRequestBody 1024000
</Directory>

▷LimitRequestBody 단위 설정 루트 디렉터리에 대해서는 5MB 이하로 적용해야 하고 그 외는 적절한 크기로 제한

▷LimitRequestBody 지시자 설정 시 업/다운로드 외 페이지 크기 값도 포함되므로 페이지 크기 고려 

제한하고 싶은 파일의 크기가 5MB, 페이지 크기가 2MB = 7MB 

 

▷ 웹 페이지 내 파일 첨부가 가능한 업로드 게시판에서 업로드를 5MB 이하로 제한하더라도, WAS 자체에 설정 값이 존재하지 않으면 다른 방법을 통해 5MB 이상의 파일을 업로드할 수 있으므로 연동되는 WAS에서도 파일 업로드/다운로드 설정을 적용해야 함