4. 파일 업로드 및 다운로드 제한

취약점 설명

업/다운로드 용량을 지정하지 않을 경우 악의적으로 대용량, 혹은 수많은 파일들을 업/다운로드 해 서비스 운영에 영향을 줄 수 있다.

딴소리

용량을 꼭 특정 값으로값 이하로 지정해야하는건 아니다. 서비스 운영 상 필요한 만큼만 제한을 걸어 놓으면 된다.

용량제한이 30기가로 되어 있더라도, 서비스 운영상 해당 용량이 필요할 경우 양호가 될 수 있다.

용량제한 500기가와 용량제한 없음은 완전히 다르다.

진단 방법

apache2.conf 에서 LimitRequestBody 값을 grep으로 식별

cat /etc/apache2/apache2.conf | grep LimitRequestBody

양호 취약 기준

서비스 운영 상 필요한 용량제한을 설정하고 있을경우 양호

용량 제한을 설정하지 않았을 경우 취약

출력되는 값이 없을 경우 용량을 제한하고 있지 않으므로 취약

 

참고