[중요] 업로드 관련 보안 가이드
Writer 관리자

 내용

 액티브 디자이너와 X-Free Editor 와 같은 웹 에디터 제품군은 보안과 관련하여 서버로 전송이 되는 데이터의  검증 및 전송 중인 데이터를 캐치 변조하는 공격에 대한 보안 기능을 제공하지 않습니다.

처리 방안

 

 1. 업로드 디렉토리 스크립트 실행 권한 제거

    특별한 케이스가 아니라면 업로드 되는 파일들은 실행의 대상이 될 수 없습니다.

    문제가 되는 파일이 서버에 업로드가 되어도 파일의 실행이 되지 않는다면 업로드로 발생하는

    보안 문제는 심각한 영향을 주지는 않습니다.

    업로드 폴더에 대한 권한을 변경하여 실행 권한을 제거하시기 바랍니다.

 

  • IIS 보안 설정
     IIS 설정에서 대상 디렉토리를 선택한 후, 속성 창을 열어 실행 권한을 제거
  • IIS7 이상인 경우
     업로드 디렉토리를 선택한 후, [ 처리기 매핑 도구 -> 기능 사용 권한 편집 -> 스크립트 체크  해제] 를 통해서 제거
  • 기타 웹/WAS 서버 설정은 관련 문서를 참고

 

 2. SSL을 사용하여 암호화 전송

     에디터에서 생성이 된 데이터를 서버로 전송하는 과정에서 데이터 변조가 일어날 경우가

     있습니다. HTTP 방식은 해당 변조를 막을 방법이 없기 때문에 SSL을 사용한 전송을

     권장하여 드립니다.
     단, SSL 사용 시 암호화/복호화의 처리 과정으로 인해서 처리 속도가 떨어질 수 있습니다.
 

참고

 웹 보안 취약점의 이해와 대응방법 (한국 인터넷 진흥원)