[보안] 비밀글 첨부파일 다운로드 경로 권한검증 누락(IDOR/권한우회)

[ksw9722]

요약

비밀글/제한글의 첨부파일 다운로드 경로에서 본문 조회 시 적용되는 비밀글/읽기 권한 검증이 누락되어,
직접 URL 요청으로 첨부파일에 접근할 수 있는 문제가 확인되었습니다.

즉, 비밀글 본문은 못 보더라도 첨부파일은 우회 접근이 가능한 상태입니다.

---

영향 범위

• 웹 다운로드 경로: GET /board/{bo_table}/{wr_id}/download/{bf_no}
• API 다운로드 경로: GET /api/v1/boards/{bo_table}/writes/{wr_id}/files/{bf_no}

---

문제 원인

다운로드 흐름에서 아래 검증만 수행됩니다.

• validate_download_level()

하지만 비밀글 보호에 핵심인 아래 검증은 누락되어 있습니다.

• validate_read_level()
• validate_secret() (또는 동일 수준의 비밀글 접근 검증)

결과적으로 첨부파일 반환 직전 권한 경계가 깨집니다.

---

재현 시나리오 (개요)

1. 일반 사용자(권한이 낮은 사용자)로 로그인
2. 대상 게시판/그룹 접근 가능 상태에서 wr_id, bf_no를 추정/확인
3. 아래 URL 직접 호출
   • /board/{bo_table}/{wr_id}/download/{bf_no}
   • /api/v1/boards/{bo_table}/writes/{wr_id}/files/{bf_no}
4. 비밀글 본문 접근 권한이 없어도 첨부파일 다운로드 가능

---

보안 영향

• 비밀/제한 게시글의 첨부파일 무단 열람
• 내부 문서/개인정보 등 민감 데이터 유출 가능
• 비밀글 정책의 실질적 우회

---

권장 수정안

다운로드 라우트에서도 본문 조회와 동일한 접근통제를 강제해 주세요.

예시:

1. DownloadFileService에 validate_download_access() 추가
   • block_read_comment()
   • validate_read_level()
   • validate_secret()
2. 웹/API 다운로드 라우트에서 get_board_file() 이전에 위 메서드 호출
3. validate_download_level()은 보조 검증으로 유지

---

참고 코드 위치

• bbs/board.py (다운로드 라우트)
• api/v1/routers/board.py (API 다운로드 라우트)
• service/board/read_post.py (DownloadFileService)

필요하시면 재현 가능한 요청 형태와 패치 제안(diff 형태)도 추가로 제공드리겠습니다.

[ksw9722]

정정/보완 설명 드립니다.

핵심은 다음과 같습니다.

• 비밀글 설정 시 일반 사용자는 게시글 본문 및 첨부파일에 접근하면 안 됩니다.
• 하지만 현재 다운로드 경로를 직접 호출하면(강제 요청) 첨부파일이 반환됩니다.

강제 호출 예시:

• GET /board/{bo_table}/{wr_id}/download/{bf_no}
• GET /api/v1/boards/{bo_table}/writes/{wr_id}/files/{bf_no}

즉, 비밀글 접근 통제는 본문 경로에는 적용되지만, 첨부파일 다운로드 경로에는 동일 수준으로 적용되지 않아 우회가 가능합니다.

재현 시 기대와 다르게 파일 응답이 내려오며(200 OK), 첨부파일이 다운로드됩니다.