php 보안팁 [php.ini] - 필수보안 사항
주의사항: 본 팁 은 선의에 입각하여 제공합니다. 아래의 작업중 발생하는 어떠한 책임도 지지 않습니다.
#개요 :
php는 매우 편리하고 사용하기 쉬운 언어이나 대부분의 리눅스 서버에 php 설치시 기본값은 php functions을 제한하지 않습니다.
#잠정문제점 중 하나:
하지만 php로 만든 아주 간단한 phpshell 파일을 웹호스팅 계정에 올려놓고 실행시키면 같은 서버내에 있는 모든 계정 (domain1.co.kr, domain100.net...등) 에 있는 99.9% 의 모든 데이터베이스를 사용하는 프로그램 (예, 게시판, 쇼핑몰 등 포함) 의 Database 사용자, 이름, 및 암호를 바로 알아 낼 수 있습니다. 이는 매우 중대한 위험 요소입니다.
쇼핑몰의 고객정보를 누구나 빼 갈수 있다고하면 매우 큰 일이 일어날 수 있습니다.
#해결방법 :
/etc/php.ini 을 열어서 아래의 부분을 찾아서, 아래부분을 찾아서
; This directive allows you to disable certain functions for security reasons.
; It receives a comma-delimited list of function names. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
disable_functions =
아래처럼 변경하여 줍니다. 특히 proc_open는 꼬~~~ 옥 넣어주어야 합니다.
; This directive allows you to disable certain functions for security reasons.
; It receives a comma-delimited list of function names. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
disable_functions = "system,exec,shell_exec,proc_open"
#실제 상황 :
구글등에서 php shell 를 검색후 phpshell 파일을 계저에 올려놓고 실행을 하여 봅니다. 그래서 아래처럼 나오면 정상입니다 - 즉, php shell 이 작동되지 않게 세팅이 되어 있는 경우입니다.
# 실제스크린샷 ( 보안이 되지 않았을 경우....)
아래에서 'cat' 이라는 명령어는 파일 내용을 보여주기이며 dbconfig.php 는 이 파일을 보여주라는 명령입니다. 보시다시피 아래는 db 암호를 바로 볼 수 있는 경우 입니다....
$ cat dbconfig.php
<?
$mysql_host = "localhost";
$mysql_user = "penguins_crm";
$mysql_password = "password";
$mysql_db = "penguins_crm";
?>
아래는 cd / 하여서버 루트로 간 경우입니다. 즉 서버내 어떤곳이든 이동하여 상당수 파일을 볼 수 있습니다. 왜냐하면 게시판등 db 정보를 포함하는 파일은 대부분이 권한이 others 도 rw 로 되어 있기 때문입니다.
$ cd /
$ dir
backup boot etc lib media mnt opt root selinux sys usr
bin dev home lost+found misc net proc sbin srv tmp var
#개요 :
php는 매우 편리하고 사용하기 쉬운 언어이나 대부분의 리눅스 서버에 php 설치시 기본값은 php functions을 제한하지 않습니다.
#잠정문제점 중 하나:
하지만 php로 만든 아주 간단한 phpshell 파일을 웹호스팅 계정에 올려놓고 실행시키면 같은 서버내에 있는 모든 계정 (domain1.co.kr, domain100.net...등) 에 있는 99.9% 의 모든 데이터베이스를 사용하는 프로그램 (예, 게시판, 쇼핑몰 등 포함) 의 Database 사용자, 이름, 및 암호를 바로 알아 낼 수 있습니다. 이는 매우 중대한 위험 요소입니다.
쇼핑몰의 고객정보를 누구나 빼 갈수 있다고하면 매우 큰 일이 일어날 수 있습니다.
#해결방법 :
/etc/php.ini 을 열어서 아래의 부분을 찾아서, 아래부분을 찾아서
; This directive allows you to disable certain functions for security reasons.
; It receives a comma-delimited list of function names. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
disable_functions =
아래처럼 변경하여 줍니다. 특히 proc_open는 꼬~~~ 옥 넣어주어야 합니다.
; This directive allows you to disable certain functions for security reasons.
; It receives a comma-delimited list of function names. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
disable_functions = "system,exec,shell_exec,proc_open"
#실제 상황 :
구글등에서 php shell 를 검색후 phpshell 파일을 계저에 올려놓고 실행을 하여 봅니다. 그래서 아래처럼 나오면 정상입니다 - 즉, php shell 이 작동되지 않게 세팅이 되어 있는 경우입니다.
Fatal Error!
proc_open() has been disabled for security reasons
in /home/sunjoo/html/phpshell/phpshell.php, line 240.
# 실제스크린샷 ( 보안이 되지 않았을 경우....)
아래에서 'cat' 이라는 명령어는 파일 내용을 보여주기이며 dbconfig.php 는 이 파일을 보여주라는 명령입니다. 보시다시피 아래는 db 암호를 바로 볼 수 있는 경우 입니다....
$ cat dbconfig.php
<?
$mysql_host = "localhost";
$mysql_user = "penguins_crm";
$mysql_password = "password";
$mysql_db = "penguins_crm";
?>
아래는 cd / 하여서버 루트로 간 경우입니다. 즉 서버내 어떤곳이든 이동하여 상당수 파일을 볼 수 있습니다. 왜냐하면 게시판등 db 정보를 포함하는 파일은 대부분이 권한이 others 도 rw 로 되어 있기 때문입니다.
$ cd /
$ dir
backup boot etc lib media mnt opt root selinux sys usr
bin dev home lost+found misc net proc sbin srv tmp var
[이 게시물은 관리자님에 의해 2011-10-31 17:12:10 PHP & HTML에서 이동 됨]
|
댓글을 작성하시려면 로그인이 필요합니다.
프로그램
태그 필터 (최대 3개)
전체
개발자
소스
기타
mysql
팁자료실
javascript
php
linux
flash
정규표현식
jquery
node.js
mobile
웹서버
os
프로그램
강좌
썸네일
이미지관련
도로명주소
그누보드5
기획자
견적서
계약서
기획서
마케팅
제안서
seo
통계
서식
통계자료
퍼블리셔
html
css
반응형
웹접근성
퍼블리싱
표준화
반응형웹
홈페이지기초
부트스트랩
angularjs
포럼
스크린리더
센스리더
개발자톡
개발자팁
퍼블리셔톡
퍼블리셔팁
기획자톡
기획자팁
프로그램강좌
퍼블리싱강좌
댓글 4개
disable_functions = "phpinfo"
이렇게 한다면
phpinfo();
를 사용할수없게되겠죠?
PhotoFly 님의 아이디어는 생각을 못 해 보았네요. ^.^ 항상 많은 좋은 팁 고맙습니다