[Unix 서버] 웹서비스 파일 업로드 및 다운로드 제한

 

 

U-40 웹서비스 파일 업로드 및 다운로드 제한

 

■ 점검영역 : 서비스 관리

 

■ 항목 중요도 : 상

 

■ 점검내용

 

파일 업로드 및 다운로드의 사이즈 제한 여부 점검

 

■ 점검목적

 

기반시설 특성상 원칙적으로 파일 업로드 및 다운로드를 금지하고 있지만 불가피하게 필요시 용량 사이즈를 제한함으로써 불필요한 업로드와 다운로드를 방지해 서버의 과부하 예방 및 자원을 효율적으로 관리하기 위함

 

■ 보안위협

 

악의적 목적을 가진 사용자가 반복 업로드 및 웹 쉘 공격 등으로 시스템 권한을 탈취하거나 대용량 파일의 반복 업로드로 서버자원을 고갈시키는 공격의 위험이 있음

 

■ 참고

 

※ 불필요한 업로드와 다운로드

내부 정책에 맞지 않는 업로드와 다운로드를 말함

예를 들어 5Mb 이상의 대용량 파일이나 확장자를 화이트 리스트 방식으로 제한함을 말함

 

 

점검대상 및 판단기준

 

■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등

 

양호

파일 업로드 및 다운로드를 제한한 경우

 

취약

파일 업로드 및 다운로드를 제한하지 않은 경우

 

■ 조치방법

 

파일 업로드 및 다운로드 용량 제한 (/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉터리의 LimitRequestBody 지시자에 파일 사이즈 용량 제한설정)

 

 

점검 방법

 

■ OS별 점검 파일 위치 및 점검 방법

 

SOLARIS, LINUX, AIX, HP-UX

LimitRequestBody 파일 사이즈 용량 제한 설정 여부 확인 #vi /[Apache_home]/conf/httpd.conf LimitRequestBody 5000000 (※ 업로드 및 다운로드 파일이 5M를 넘지 않도록 설정 권고함)

위에 제시한 설정이 적용되지 않은 경우 아래의 보안설정방법에 따라 설정을 변경함

 

■ SOLARIS, LINUX, AIX, HP-UX

 

Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일 열기
#vi /[Apache_home]/conf/httpd.conf

 

Step 2) 설정된 모든 디렉터리의 LimitRequestBody 지시자에서 파일 사이즈 용량 제한 설정

예) <Directory /> LimitRequestBody 5000000 (※ “/” 는 모든 파일 사이즈를 5M로 제한하는 설 정 단위:byte) </Directory>

 

■ 조치 시 영향 : 일반적인 경우 영향 없음