KISA

시큐어 코딩 - 3일차 파일 업로드 / 다운로드 업로드 업로드되는 파일의 타입을 제한하지 않는 경우 업로드되는 파일의 크기나 개수를 제한하지 않는 경우 업로드된 파일을 외부에서 직접적으로 접근한 경우 업로드된 파일의 이름과 저장된 파일의 이름이 동일해 공격자가 파일을 인식 가능한 경우 업로드된 파일이 실행권한을 가지는 경우 아래와 같은 파일을 업로드하여 브라우저에서 test.jsp?cmd=notepad 라고 치면 notepad를 실행하게된다. //JSP // jpg // file size < 10m // file type image if ( file != null && ! "".equals(file.getOriginalFilename()) && file.getContentType().contains("i..