공개용 솔루션의 위험성이라는 글.... 정보
공개용 솔루션의 위험성이라는 글....본문
아래 사항은 이미 위험성이 알려진 부분이지만 적용되지 않은 경우 추가 위험성이 존재하여
다시한번 중요한 PHP 옵션에 대해 언급하며, 이를 반영할 경우 피해를 최소화 할 수 있습니다.
1. register_globals=Off
2. session.cookie_httponly=On (php >= 5.2.x)
3. allow_url_include=Off (php >= 5.2.x)
3-1. allow_url_fopen=Off (php < 5.2.x)
간단히 옵션만 변경하면 되지만 현실적이로 불가능한 경우가 많습니다.
과거에 개발되었거나 공개용 솔루션을 이용할 경우이며,
최소한 최근 개발되는 환경은 위 옵션을 유지하기를 권장해 드립니다.
위 옵션만 유지된다면 현재 추가로 발견된 문제에 대해서는
직접적인 영향이 발생되지 않을 것으로 보입니다.
위 옵션을 유지할 수 없는 환경인 경우 특정 대상으로 접근을 제한하거나
그것도 불가능할 경우 해외 특히 중국 아이피를 차단하시기 바랍니다.
그리고 구글에 URL이 노출되는지 확인 후 노출된 URL에 대해서는 특별히 신경을 써야 하고
가능하면 구글에 노출되지 않도록 구글봇을 차단하시는게 좋습니다.
구글에 노출조차 허용하고 싶다면
최소한 공개용 솔루션 URL이라도 노출되지 않도록 robots.txt rule 적용이 필요합니다.
http://blog.pages.kr/920
12월 21일자 글인데.. 그누보드 보안패치가 된다면 문제가 없는거죠?
참..그누보드는요.. 최신버전의 마지막 패치만 하면 되는거죠?
그전 보안패치는 안해도 되구요....
그나저나 ...관리자님....
힘드시겠어요.. 그리고 고맙습니다.
수많은 창들의 공격앞에 매번 튼튼한 방패를 제공해주셔서요..
늘 든든합니다.
새해 복많이 받으세요~!!
추천
0
0
댓글 2개
좋은글이라 자게에서 뒤로 밀려 나는 것이 좀 그렇네요. 포럼이나 프로그래머방에 좀 같은 내용이 남겨 졌으면 좋겠습니다. 잘 읽었어요! 뿔끈!한 새해 되시구요!
거기에 안올린게 .. 제가 이부분을 잘 모르고..
또 그누보드 보안패치가 위의 글 12.21일 이후인 12월 29일에 나오기도 했구요..
그래서 그냥 여기서 잡담형식으로 올려본거에요.. ^^
위의 내용을 정리하면
1. 공개솔루션 자체의 취약점 ---> 그누자체 보안패치로 해결.
2. 구글봇의 무서움 ---> 구글봇 차단.
3. 중국애들의 무서움.. ---> 중국아이피 차단.
이거 3개로 요약되는거같은데..
전 그냥 아 이건 이렇게되는구나 하는 생각만 들어서요..^^
물론 다른분의 이야기도 들었으면 좋겠지만
보안쪽인 요소는 음..
대부분 공개적으로 안하고 그냥 물밑에서만 논의되는 선인거같기도 하구요..
또 그누보드 보안패치가 위의 글 12.21일 이후인 12월 29일에 나오기도 했구요..
그래서 그냥 여기서 잡담형식으로 올려본거에요.. ^^
위의 내용을 정리하면
1. 공개솔루션 자체의 취약점 ---> 그누자체 보안패치로 해결.
2. 구글봇의 무서움 ---> 구글봇 차단.
3. 중국애들의 무서움.. ---> 중국아이피 차단.
이거 3개로 요약되는거같은데..
전 그냥 아 이건 이렇게되는구나 하는 생각만 들어서요..^^
물론 다른분의 이야기도 들었으면 좋겠지만
보안쪽인 요소는 음..
대부분 공개적으로 안하고 그냥 물밑에서만 논의되는 선인거같기도 하구요..