프로그래머님들 꼭 봐주세요! 정보
프로그래머님들 꼭 봐주세요!본문
저는 현재 커뮤니티 사이트를 운영하는 사람입니다.
처음에 프로그래머가 개발하여 무료로 배포한 것을 배포자에게 설치받아서 사이트를 운영하게 되었습니다.
그런데 점점 방문자가 늘어나다 보니 뼈대으로 구성된 홈페이지에 디자인 해서 살도 붙이고 해서
지금은 그럭저럭 모양새를 갖춘 상태로 운영하고 있습니다.
그런데 오늘 저희 사이트에 배너광고를 의뢰받아 배너광고를 단 광고중개업자로부터 뜻밖의 말을 들었습니다.
그분이 관리자만 볼 수 있는 방문자현황을 다 볼 수있었고 회원이 몇명 비회원이 몇명 접속했는지
정확히 알고있길래 물었더니 ...그분 하는 말씀이 그누보드는 소스가 다오픈되어 취약해서 다 볼 수 있다고 하더군요.
그런데 좀 특이한건
배너광고를 의뢰할때
예를 들자면 메인페이지 배너 링크주소를 www.daum,net 이 아니라
www우리사이트이름 그다음 daum.net 이런식으로 주소를 주며 이걸루 걸어 달아달라고 하더군요.
그 사이트 링크는 그사이트 메인페이지에서 열리구요.
그리고 그냥 메인페이지 링크로 갈땐 배너클릭하면 바로 열리던데
아래처럼 주소로 우리사이트이름넣고 링크된걸 배클릭하면 메인페이지 열리는데 엄청 오래걸립니다.
광고업자가 왜 우리사이트 이름이 포함된 링크주소를 줬을까요?
관리자만 볼수있어야 되는것을 광고업자가 보고있다는게 굉장히 기분나쁘더군요.
사이트의 보안이 취약하다는것을 이제야 알았습니다.
이보안문제를 어찌 해결해야 하는지 프로그래머님들게 자세히 알고 싶습니다.
그리고 조만간 사이트 커스터마이징을 할 예정입니다.
성실답변 해주신분께 커스터마이징 작업 드리게ㅛ습니다.
프로그래머님들의 자세한 답변 부탁드립니다.
*** 개인정보보호를 위한 이메일주소 노출방지 ***
추천
0
0
댓글 8개
보안이 취약 해서 그런게 아닐수 있어요 누구나 볼수 있도록 같은 구성으로 구조가 되어 있어서 볼수가 있다고 봅니다.
예) http://sir.co.kr/bbs/current_connect.php <---그누보드에 현접속자 입니다.
도메인/bbs/current_connect.php <--- 도메인에 님 도메인 넣으시면 아마 현 접속자가 나올겁니다.
요렇게 말이죠...
http://honeymusic.kr/bbs/current_connect.php
즉 경로나 current_connect.php 파일명을 바꾸시면 되겠습니다.
예) http://sir.co.kr/bbs/current_connect.php <---그누보드에 현접속자 입니다.
도메인/bbs/current_connect.php <--- 도메인에 님 도메인 넣으시면 아마 현 접속자가 나올겁니다.
요렇게 말이죠...
http://honeymusic.kr/bbs/current_connect.php
즉 경로나 current_connect.php 파일명을 바꾸시면 되겠습니다.
요런 경로가 거의 변경하지 아니하면 다 같겠죠 ??
10 년 넘게 그누에서 활동한 사람입니다.
그누보드는 소스가 다오픈되어 취약하다 라고 얘기 하신분은
처음들어 보았습니다.
공개되었기에 문제라고 친다면
CentOS 부터 Apache 등등 전세계에서 오픈된 소스들이 문제가 되는것인데
중대형부터 운영하면서 사용하는 사이트들이 한두개가 아닙니다.
오픈된것이 보안에 문제가 있다라는건 너무 어불 성설인것 같구요..
업그레이드 진행 하시면서 개발에 틈이 생기셨던것이 아닐지..
대부분 대충 대충 개발한 사이트들이 그런 허점들이 많았던터라
다른 개발자분들에게 의뢰해 보실것을 추천 드립니다.
그누보드는 소스가 다오픈되어 취약하다 라고 얘기 하신분은
처음들어 보았습니다.
공개되었기에 문제라고 친다면
CentOS 부터 Apache 등등 전세계에서 오픈된 소스들이 문제가 되는것인데
중대형부터 운영하면서 사용하는 사이트들이 한두개가 아닙니다.
오픈된것이 보안에 문제가 있다라는건 너무 어불 성설인것 같구요..
업그레이드 진행 하시면서 개발에 틈이 생기셨던것이 아닐지..
대부분 대충 대충 개발한 사이트들이 그런 허점들이 많았던터라
다른 개발자분들에게 의뢰해 보실것을 추천 드립니다.
이것은 제대로 의뢰를 요청하셔야겠네요
돈 조금 들이시면 DB의 가치에 따라 다른 이야기겠지만 어느정도 보장됩니다. 보안이란게 꼭! 코드만 놓고 따지는 것도 아니고 뚫리는 상황이 제 각각이고 그때마다 능동적으로 대처하셔야 하는 일이라 오픈보드가 뚫렸다는 이유로 "보안에 취약하다!"라고 단정 짓기에는 어패가 있는 거죠.
경로와 코드가 공개되어져 보안에 취약하다면 취약하다고 해야 맞지만 보안을 요하는 DB를 소지한 당사자들이 아무 노력없이 공개보드의 보안을 문제 삼는다면 지금의 홈페이지 조차 만드시지 못 했을 거에요.
경로와 코드가 공개되어져 보안에 취약하다면 취약하다고 해야 맞지만 보안을 요하는 DB를 소지한 당사자들이 아무 노력없이 공개보드의 보안을 문제 삼는다면 지금의 홈페이지 조차 만드시지 못 했을 거에요.
"그분이 관리자만 볼 수 있는 방문자현황을 다 볼 수 있었고 회원이 몇명 비회원이 몇명 접속했는지"
이건 관리자만 볼 수 있는게 아니라 아무나 다 볼 수 있습니다. 헌이님이 잘 말씀해 주셨네요
이 부분이 꺼림칙 하시면 current_connect.php 파일 상단에 관리자만 접근되게 조건문 한줄 써주시면 되겠죠.
이건 관리자만 볼 수 있는게 아니라 아무나 다 볼 수 있습니다. 헌이님이 잘 말씀해 주셨네요
이 부분이 꺼림칙 하시면 current_connect.php 파일 상단에 관리자만 접근되게 조건문 한줄 써주시면 되겠죠.
모두 좋은 말씀 해주셨네요. 헌이님이 말씀하신 부분들에 대해서는 꼭 확인을 해보시기 바랍니다.
누군가에게 그 부분들에 대해서 공개 하기 싫으시다면 말이지요.
누군가에게 그 부분들에 대해서 공개 하기 싫으시다면 말이지요.
못 보게 처리 할려면 파일명 변경하시거나 혹은 함수로 관리자외에 이것도 믿음직 않다하며 새롭게 카운터 관리자 만들면 되지 않을까싶은데요..
