Skip to content

fix: enforce secret/read checks on attachment download routes#649

Open

ksw9722 wants to merge 1 commit into

gnuboard:master from

ksw9722:fix/secret-attachment-download-authz

Open

fix: enforce secret/read checks on attachment download routes #649
ksw9722 wants to merge 1 commit into
gnuboard:master from
ksw9722:fix/secret-attachment-download-authz

Conversation

@ksw9722 ksw9722 commented Feb 22, 2026

Copy link

Copy Markdown

개요

비밀글/제한글의 첨부파일 다운로드 경로에서 본문 조회와 동일한 접근통제(읽기/비밀글 검증)가 누락되어 있던 문제를 수정합니다.

변경 사항

DownloadFileService에 validate_download_access() 추가
- block_read_comment()
- validate_read_level()
- validate_secret()
웹 다운로드 라우트(bbs/board.py)에서 파일 반환 전 validate_download_access() 호출
API 다운로드 라우트(api/v1/routers/board.py)에서 파일 반환 전 validate_download_access() 호출

보안 효과

비밀글/제한글의 첨부파일 직접 URL 접근 우회 차단
본문 접근 정책과 첨부파일 접근 정책 정합성 확보

관련 이슈

Closes [보안] 비밀글 첨부파일 다운로드 경로 권한검증 누락(IDOR/권한우회) #648


 fix: enforce secret/read checks on attachment download routes

ce92060

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

1 participant