목록
아래로
위로

이미지를 DataURI로 받아올 경우 보안문제가 있을까요?

8
네모
2018.05.12. 07:51
조회 수 200

안녕하세요.

이미지 리사이즈 애드온을 제작하는 도중 질문드릴 점이 있어 글 남깁니다.

대상이 된 웹사이트에는 업로드 되는 이미지들의 사이즈가 매우 크고, 개수도 만만치 않습니다.

이러한 상황에서, 서버단에서 리사이즈 작업을 진행한다면 부하가 심하리라고 생각되어 몇가지 방법을 생각했는데,

그 중 하나가 브라우저에서 이미지 가공을 완료한 뒤 DataURI 값을 AJAX로 서버에 전달하는 방식입니다.

전달받은 DataURI는 서버에서 디코딩하여 기존 첨부된 이미지에 덮어씌우고요.

위 방식대로 제작은 해 두었으나, 보안문제가 있을까 싶어 실사용은 꺼리고 있는 중입니다.

혹시 이러한 방법이 보안에 위험한 방법일까요?

만약 그렇다면, DataURI 값을 전달할때, 서버단에서는 어떠한 검증작업을 하여 위험을 방지할 수 있을까요?

XE타운에도 올려두었고, 그거 그대로 복사해서 그런지 뭔가 여기서 쓰던 어투와 다르네요ㅋㅋㅋㅋㅋㅋ

작성자

네모 71 Lv. (46%) 408590/414720EXP

인스타그램 : http://instg.me/nemo_9l

humit

그냥 직접 AJAX처럼 흉내내어 DataURI를 전달하려는 시도가 있을 수도 있겠네요.

이 부분은 어렵게할 수는 있겠지만 불가능하게는 어려울 것 같아요. (ex. 업로드 요청을 할 때마다 세션의 값을 증가시키는 방법)

물론 이 방법으로만은 취약하지는 않겠지만 다른 취약점과 겹치면 웹쉘까지도 업로드 할 수 있겠습니다. (물론 네모님이 다른 취약점을 만드실 일은 없겠지만요 ㅎ..)

애초에 base64로 인코딩을 해서 넘어가니 방화벽이 우회가 가능할수도 있고요..

2018.05.12. 09:34

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

네모 작성자 → humit

저장시 확장자는 무조건 jpg 로 지정되는데, 예전에 jpg 파일로도 이상한 짓이 가능하다는 말을 들었거든요.

그 당시에 원리를 알아놓지 않고 그냥 그렇구나 하고 넘어갔다가 지금 와서 보니 자료 찾기가 쉽지 않네요ㅠㅠ

jpg 파일로도 웹쉘 업로드가 가능한걸까요?

2018.05.12. 10:11

"네모님의 댓글"

이 댓글을 신고 하시겠습니까?

humit → 네모

아마 최신 버전으로 한다면 크게 문제가 안될겁니다. 구 버전인 경우 파일명 조작이 가능하면 %00와 같은 방법으로 우회하는 방법이 있었습니다.

2018.05.12. 10:49

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah

ffmpeg나 이미지매직이 설치되어 있지 않는 서버에서도 사용한 방법인가요?

애초에 이미지 변환 방식을 선택하도록 서버단에서 ffmpeg를 이용한 방법, 이미지매직을 이용한 방법, 브라우저단에서 변환시키는 방법 이렇게 선택하도록 하면 조금더 낫지 않을까합니다.

저는 잘 모르는 분야이기 때문에 보안 이슈에 대해서 문제가 될거다 라는 답은 못드리겠으나, 이미 base64방식으로도 이미지 로드를 많이 하기때문에 큰 문제는 없지 않을까 생각합니다.

참고로 여기는 이미지매직이 설치되어 있습니다!

2018.05.12. 10:11

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

네모 작성자 → NoYeah

예. 서버는 가리지않고 base64_decode 사용만 가능하다면 될거라고 생각해요.

따로 선택기능을 추가할 필요는 없는게, 이미 이미지매직을 활용한 리사이즈 모듈은 존재하는데다가...

50MB 이상의 이미지가 게시글당 수십장 업로드 되는 환경에서 사용해야 합니다ㅠㅠ 아무래도 서버 부담이 클 것 같아서요.

사실 업로드 전에 리사이즈 하면 간단한 문제이긴 한데, 알바를 고용해서 업로드 시키면서 리사이즈 작업까지 진행하는건 힘들다고 하더라구요.

여기서는 그냥 이미지프로세스 모듈을 사용하면 간단하지 않을까요! 제 블로그에서도 그걸로 리사이즈 하고 있고..!

2018.05.12. 10:19

"네모님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah → 네모

에디터 자동 완성 모듈과 충돌이 있다는 이야기를 들어서 쉽게 적용하지 못하는 상태입니다.

그리고 base64 방식은 png나 다른 방식도 가능하니 않나요?

2018.05.12. 11:47

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

네모 작성자 → NoYeah

앗! 그랬군요..! 스포어용으로 하나 만들어봐야겠습니다..!

리사이즈의 용도가 쓸데없이 큰 이미지들의 용량을 줄이는게 목표니까...

굳이 png를 지원할 필요는 없다고 생각했지요. 어떤 이미지를 첨부하든, 다 jpg로 변환해서 저장시키면 된다는 생각에..!

2018.05.12. 12:07

"네모님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah → 네모

jpg면 충분하지요. 투명이미지 아니고서야 굳이 png를 유지할 필요는 없으니깐요. ㅋㅋ

2018.05.12. 21:14

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.

번호	제목	글쓴이	날짜	조회 수
공지	[1차 해결 및 추가] 서버 접속 불가 문제 안내 13	마스터	24.06.20.15:22	670
공지	[작업 완료] 설 명절 맞이 서버 업데이트 안내 3	마스터	24.02.11.17:21	2629
공지	[중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4	마스터	23.01.14.02:23	6328
공지	[필독] 질문하는 방법 17	마스터	18.02.23.03:09	4671
346	도메인 입력해도 Study For Us 홈페이지로 리다이렉팅 됩니다. 8	Nerd	18.02.17.14:55	238
345	다음 api 사용하려고 뒤적거리다보니 curl_init, curl_easy_init 비교 7	홀민	18.12.05.09:59	237
344	UnofficialNamuMirror 사용법 3	맛수타	17.11.02.06:19	237
343	워드프레스 웹폰트가 죄다 깨졌습니다. 8	국내산라이츄	24.03.15.22:31	236
342	안녕하세요ㅠㅠ 위키 URL 리다이렉션 관련 질문입니다 1	김광현	20.03.26.16:33	236
341	[미디어위키] 시각편집기 no vrs	260578	19.09.03.19:49	236
340	파이썬 개발환경을 어떻게 세팅하는 것이 효율적인가요? 5	이니스프리	18.09.08.10:28	236
339	호스팅 Expert 1GB 신청 후 모르겠네요 2	변익수	18.03.23.00:32	236
338	미디어위키 하단에 똑같은 텍스트가 나오게 할 수 있는 방법이 있을까요?? 3	은하수	22.12.11.18:02	235
337	모바일과 윈도우에서 잘 작동하는 note taking 앱이 있을까요? 6	이니스프리	21.03.28.22:58	235
336	아이콘 구매와 활용법에 대한 질문 10	해피보이	20.04.02.18:04	235
335	Hostinger 도메인에 스포어 연결 방법 2	260578	17.11.29.16:55	235
334	이클립스에 문제가 좀 있습니다. 1	국내산라이츄	17.07.26.12:05	235
333	방법좀알려주세여 ㅠ.ㅠ 1	JhgKo	17.06.29.16:26	235
332	FTP, FTPS, SFTP, WebDAV를 사용하지 않고 원격지 서버에 파일을 업로드하는 방법이 있을까요? 10	제르엘	22.09.01.14:33	234
331	외부 접속가능한 db프로그램 문의 4	슬기	20.05.05.21:41	234
330	태블릿을 컴퓨터 키보드로 사용할 수 있는 앱 추천 부탁드립니다.	이니스프리	19.03.29.18:31	234
329	vmware esxi 환경에서 xpenology 를 운영하시는 회원님 계신가요 ? 2	xnview	18.08.05.00:43	234
328	해결하였습니다 3	AA	18.05.02.17:58	234
327	헉!!!! 3	맛수타	17.07.27.07:08	234

번호

제목

글쓴이

날짜

조회 수

공지

[1차 해결 및 추가] 서버 접속 불가 문제 안내 13

마스터

24.06.20.15:22

670

공지

[작업 완료] 설 명절 맞이 서버 업데이트 안내 3

마스터

24.02.11.17:21

2629

공지

[중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4

마스터

23.01.14.02:23

6328

공지

[필독] 질문하는 방법 17

마스터

18.02.23.03:09

4671

346

도메인 입력해도 Study For Us 홈페이지로 리다이렉팅 됩니다. 8

Nerd

18.02.17.14:55

238

345

다음 api 사용하려고 뒤적거리다보니 curl_init, curl_easy_init 비교 7

홀민

18.12.05.09:59

237

344

UnofficialNamuMirror 사용법 3

맛수타

17.11.02.06:19

237

343

워드프레스 웹폰트가 죄다 깨졌습니다. 8

국내산라이츄

24.03.15.22:31

236

342

안녕하세요ㅠㅠ 위키 URL 리다이렉션 관련 질문입니다 1

김광현

20.03.26.16:33

236

341

[미디어위키] 시각편집기 no vrs

260578

19.09.03.19:49

236

340

파이썬 개발환경을 어떻게 세팅하는 것이 효율적인가요? 5

이니스프리

18.09.08.10:28

236

339

호스팅 Expert 1GB 신청 후 모르겠네요 2

변익수

18.03.23.00:32

236

338

미디어위키 하단에 똑같은 텍스트가 나오게 할 수 있는 방법이 있을까요?? 3

은하수

22.12.11.18:02

235

337

모바일과 윈도우에서 잘 작동하는 note taking 앱이 있을까요? 6

이니스프리

21.03.28.22:58

235

336

아이콘 구매와 활용법에 대한 질문 10

해피보이

20.04.02.18:04

235

335

Hostinger 도메인에 스포어 연결 방법 2

260578

17.11.29.16:55

235

334

이클립스에 문제가 좀 있습니다. 1

국내산라이츄

17.07.26.12:05

235

333

방법좀알려주세여 ㅠ.ㅠ 1

JhgKo

17.06.29.16:26

235

332

FTP, FTPS, SFTP, WebDAV를 사용하지 않고 원격지 서버에 파일을 업로드하는 방법이 있을까요? 10

제르엘

22.09.01.14:33

234

331

외부 접속가능한 db프로그램 문의 4

슬기

20.05.05.21:41

234

330

태블릿을 컴퓨터 키보드로 사용할 수 있는 앱 추천 부탁드립니다.

이니스프리

19.03.29.18:31

234

329

vmware esxi 환경에서 xpenology 를 운영하시는 회원님 계신가요 ? 2

xnview

18.08.05.00:43

234

328

해결하였습니다 3

18.05.02.17:58

234

327

헉!!!! 3

맛수타

17.07.27.07:08

234

도와주세요

이미지를 DataURI로 받아올 경우 보안문제가 있을까요?

작성자

네모 71 Lv. (46%) 408590/414720EXP

댓글 8

신고

신고

신고

신고

신고

신고

신고

신고

검색

스터디 최근글 [1/]

로그인

작성자 네모 71 Lv. (46%) 408590/414720EXP

댓글 8

신고

신고

신고

신고

신고

신고

신고

신고

검색

로그인

작성자

네모 71 Lv. (46%) 408590/414720EXP