엔피씨님... 잠시만 봐주세요. 정보
엔피씨님... 잠시만 봐주세요.
본문
쪽지를 보내려니까 그거 활동포인트가 막 깎겨요.. ㅋㅋㅋ 뭐 활동포인트가 필요한건 아니지만 괜히 아깝다는 느낌이 들어서....
질문이 있는데요... 친구 하나가 뭘 보여 줬는데 이게 어떻게 가능한지나 알고 싶어서요.
우선 구글 크롬 7.x 에 버그가 있는 버전이 있었다네요. 그걸로 아무 웹사이트나 접근해서 asp, php 파일을 execute 하지 않고, 그대로 다운받는걸 보여 줬거든요....
제 상식으로는 이게 불가능한게, php 나 asp 는 server side scripting 이라 먼저 브라우저에서 execute 되어야 하는거잖아요. 이게 execute 이 안되고, source file 그대로 download 가 되네요? 허거걱?
서버에 이상이 있는게 아닌가 싶어서 아무 사이트나 얘기를 했더니 아무 사이트나 다 가서 asp file 이나 php file 을 다운받아 보여주네요....
크롬에서 소스보기 (F12) 누르고 script 보면 이미 실행되어 있는 상태의 php 만 볼수 있잖아요. 이게 어떻게 가능한거죠?
저도 그 버그가 있는 크롬 7.x 좀 주면 안되냐고 했더니 u have to pay me 이러면서 돈을 많이 달라고 하네요....
정말 탐나기는 하는데, 돈주기는 싫고... 이거 브라우저를 어떻게 건드렸기에 이게 가능하죠? 원래 크롬 7.x 에 이런 버그가 있었던건 아닌것 같은데, 자세하게 알려주질 않네요...
초보자도 쉽게 따라할수 있는 방법 같은게 존재하나요?
댓글 전체
그냥 html들만 받아오는거예요
저도 네이버돌아다니다가 막 .php받아지고 그랫엇는데 보니까 그냥 소스보기한거처럼 받아지더군요 ㅎ
저도 네이버돌아다니다가 막 .php받아지고 그랫엇는데 보니까 그냥 소스보기한거처럼 받아지더군요 ㅎ
아, 그정도는 저도 볼줄 압니다. ㅠㅠ
execute 된게 아니구요, 다운 받아지는게 실제 원 script 이 그대로 intact 되어 있습니다.
어떤 브라우저로 보더라도 <? 이게 보이는 경우는 없습니다.
그래서 제 상식으로는 불가능하다고 한거구요. 원래 server 에 있는 php 는 서버 허락없이 다운받아질수가 없거든요. 해킹을 해서 DB 에 들어가지 않는 이상 불가능한거에요.
그런데 해킹도 안하고 그게 되니까 전문가 분께 여쭈어 보는거구요.
execute 된게 아니구요, 다운 받아지는게 실제 원 script 이 그대로 intact 되어 있습니다.
어떤 브라우저로 보더라도 <? 이게 보이는 경우는 없습니다.
그래서 제 상식으로는 불가능하다고 한거구요. 원래 server 에 있는 php 는 서버 허락없이 다운받아질수가 없거든요. 해킹을 해서 DB 에 들어가지 않는 이상 불가능한거에요.
그런데 해킹도 안하고 그게 되니까 전문가 분께 여쭈어 보는거구요.
음 소견입니다만 이미 원본 파일 그대로 다운받아지는 것부터가 해킹의 범주에 들어섰다고 보이는데요. 크롬 버그는 아닌 것 같은데요.
PHP 원본을 클라이언트 컴으로 보내서 브라우저가 이것을 컴파일하는 것이 아니라,
서버에서 PHP를 해석해서 HTML 형태로 클라이언트컴으로 보내준 걸
브라우저가 각 태그를 인식해서 화면에 보여주는 것 아닌가요?
정확한 처리과정을 모르지만 대충 저 정도로 인식하고 있는데,
그렇다면 브라우저 단에서 버그로 원본 파일을 받을 가능성은 없는 것 같은데요
PHP 원본을 클라이언트 컴으로 보내서 브라우저가 이것을 컴파일하는 것이 아니라,
서버에서 PHP를 해석해서 HTML 형태로 클라이언트컴으로 보내준 걸
브라우저가 각 태그를 인식해서 화면에 보여주는 것 아닌가요?
정확한 처리과정을 모르지만 대충 저 정도로 인식하고 있는데,
그렇다면 브라우저 단에서 버그로 원본 파일을 받을 가능성은 없는 것 같은데요
제 생각에는 그 문제의 크롬 브라우저가 접근하면서 서버 세팅을 건드리는건 아닌가... 이런 생각이거든요. 서버 세팅이 잘못되면 특히 드루팔이나 줌라 설치중 이런일이 종종 일어 납니다. php 가 execute 이 안되고 그냥 다운받아지는...
그런데 그건 원래 서버 세팅이 잘못되서 그런 에러가 나는거거든요. 어떻게 멀쩡한 서버에서도 이런 에러를 유발하는건지...
아 궁금하면 그냥 돈주고 사서 써봐야 하는건가.....
그런데 그런거 사봤자 원리를 모르면 그냥 툴 사용자일 뿐인건데...
그런데 그건 원래 서버 세팅이 잘못되서 그런 에러가 나는거거든요. 어떻게 멀쩡한 서버에서도 이런 에러를 유발하는건지...
아 궁금하면 그냥 돈주고 사서 써봐야 하는건가.....
그런데 그런거 사봤자 원리를 모르면 그냥 툴 사용자일 뿐인건데...
음 소견입니다만 이미 원본 파일 그대로 다운받아지는 것부터가 해킹의 범주에 들어섰다고 보이는데요. 크롬 버그는 아닌 것 같은데요.
허거걱? 해킹? 그건 아니죠. javascript 같은건 원래부터 원본이 그냥 다운받아 집니다. php 나 asp 는 서버 쪽이라 다운이 안되는거구요. 원래 다운안받아지는걸 다운받는다고 해킹은 아니라고 생각되는데....
허거걱? 해킹? 그건 아니죠. javascript 같은건 원래부터 원본이 그냥 다운받아 집니다. php 나 asp 는 서버 쪽이라 다운이 안되는거구요. 원래 다운안받아지는걸 다운받는다고 해킹은 아니라고 생각되는데....
자바스크립트는 클라이언트사이드 언어고,
PHP나 ASP는 서버사이드 언어에에요... 라고 써놓고 댓글 다시 보니까 개념은 아시는 것 같은데요.
제 말 뜻은 해킹이 아닌 방법으로는 원본에 접근할 방법이 없는데 어떤 식으로든 원본에 접근하게 되니까 해킹의 범주에 들어선 것 같다는 말이에요.
PHP나 ASP는 서버사이드 언어에에요... 라고 써놓고 댓글 다시 보니까 개념은 아시는 것 같은데요.
제 말 뜻은 해킹이 아닌 방법으로는 원본에 접근할 방법이 없는데 어떤 식으로든 원본에 접근하게 되니까 해킹의 범주에 들어선 것 같다는 말이에요.
아... 그런데 모든 해킹이 불법은 아니지 않나요? ^^ 원래 해킹이란 단어가 뭘 부숴트린다는 뜻인데....
client side javascript 은 보거나 다운 받아도 아무도 뭐라고 할 사람이 없는데, 서버 사이드 php 를 다운받아 본다고 그걸 불법이라고 하거나, 처벌할 법적 기준은 없는걸로 알고 있습니다.
그냥 제 생각이 그렇다는 것 입니다. 제가 틀릴수도 있구요. ^^
client side javascript 은 보거나 다운 받아도 아무도 뭐라고 할 사람이 없는데, 서버 사이드 php 를 다운받아 본다고 그걸 불법이라고 하거나, 처벌할 법적 기준은 없는걸로 알고 있습니다.
그냥 제 생각이 그렇다는 것 입니다. 제가 틀릴수도 있구요. ^^
일단 크롬 개발버전을 건드렸을 가능성이 큽니다.
개발버전에서 소스에디팅하는건 가능합니다.
사실 제가볼땐 그 친구분이 특별한 기술을 쓴것은 아니고 사용자들의 버릇패턴을 이용한게 아닌가 하는 생각이 듭니다. (그분 실력으로 그정도는 짤 수 있을것같은)
근본적인 힌트는 예전 버그를 통한 cgi다운 사태가 있었을때 페이스북을 통해 언급한적있는데,
1. 사이트를 개편할때 *.php.bak(또는 비슷한형태) 형태로 리뉴얼전 올드파일을 서버상에 그대로 방치한 경우(대부분 이렇습니다)
2. 서버에 확장자에 대한 엄격한(scrict) 설정을 해두지 않는 경우라 볼 수 있습니다.
3. 이건 가능성이 낮을 수 있지만 짗궂은 장난일 가능성입니다. 오픈소스들은 넘쳐나고, svn등의 수단으로 해당사이트가 사용중인, 오픈소스의 종류를 유추해서 해당 svn등의 경로에서 원본코드를 다운받는것을 숨기는 페이크 일수도 있겠습니다.
위의 세가지 방식은 크롬 개발자버전을 받아서, 누구나 로컬 앱을 만들어 할 수 있었습니다.
(지금은 크롬에서 플러그인으로 그런짓 못하게 막은걸로 알고있어요)
분석하기론 저런데, 정확한것은 친구분 본인이 알테고.
이런걸 쉽게 따라할 방법은 역시 이런것을 전문으로하는 guru를 찾아다녀야 할 것 같습니다.^^;;
(저도 전문가 아니예요 ㅠㅠ)
덧. 페이크 자료주장에 대한 근거는
역시 F12눌렀을때 나오는 Network 탭영역에서 이 시스템에 사용하는 보드가 유추가능해집니다 ^^
개발버전에서 소스에디팅하는건 가능합니다.
사실 제가볼땐 그 친구분이 특별한 기술을 쓴것은 아니고 사용자들의 버릇패턴을 이용한게 아닌가 하는 생각이 듭니다. (그분 실력으로 그정도는 짤 수 있을것같은)
근본적인 힌트는 예전 버그를 통한 cgi다운 사태가 있었을때 페이스북을 통해 언급한적있는데,
1. 사이트를 개편할때 *.php.bak(또는 비슷한형태) 형태로 리뉴얼전 올드파일을 서버상에 그대로 방치한 경우(대부분 이렇습니다)
2. 서버에 확장자에 대한 엄격한(scrict) 설정을 해두지 않는 경우라 볼 수 있습니다.
3. 이건 가능성이 낮을 수 있지만 짗궂은 장난일 가능성입니다. 오픈소스들은 넘쳐나고, svn등의 수단으로 해당사이트가 사용중인, 오픈소스의 종류를 유추해서 해당 svn등의 경로에서 원본코드를 다운받는것을 숨기는 페이크 일수도 있겠습니다.
위의 세가지 방식은 크롬 개발자버전을 받아서, 누구나 로컬 앱을 만들어 할 수 있었습니다.
(지금은 크롬에서 플러그인으로 그런짓 못하게 막은걸로 알고있어요)
분석하기론 저런데, 정확한것은 친구분 본인이 알테고.
이런걸 쉽게 따라할 방법은 역시 이런것을 전문으로하는 guru를 찾아다녀야 할 것 같습니다.^^;;
(저도 전문가 아니예요 ㅠㅠ)
덧. 페이크 자료주장에 대한 근거는
역시 F12눌렀을때 나오는 Network 탭영역에서 이 시스템에 사용하는 보드가 유추가능해집니다 ^^
"1. 사이트를 개편할때 *.php.bak(또는 비슷한형태) 형태로 리뉴얼전 올드파일을 서버상에 그대로 방치한 경우(대부분 이렇습니다) "
오... php 를 다운받아 보는 이런 꼼수가 있었네요. ㅎㅎㅎ 좋은 것 배워갑니다. ㅋ Learn something new everyday. LOL
open source php 를 페이크로 다운받는건 아닌게, Wells Fargo aspx 도 다운받아서원본 소스 그대로 보여 줬거든요. 은행에서 open source 를 쓸리가 없는 관계로....
엔피씨님 말대로 옛날 크롬 개발버전을 어디서 얻어다 mod 했나? 구글링을 더 해보니까 크롬/Opera/firefox 에서 php header 까지는 원문 그대로 볼수 있다네요. 흠...
저는 이상하게 해킹에 관심이 많습니다. 10년전 '' or 1=1 --' 이걸로 중앙일보 한번 뚫어본 쾌감이 아직도 남아 있어서 그런가...
그때 이거 하나로 중앙일보 뿐만 아니라 asp 로 만들어진 대한민국 모든 사이트가 다 뚫렸다는.... ㅋㅋㅋ
아 그때부터 Basic 부터 차근차근 배웠어야 하는데.. crack tool 쓰는거나 재미있어 하는 바람에.... ㅠㅠ
오... php 를 다운받아 보는 이런 꼼수가 있었네요. ㅎㅎㅎ 좋은 것 배워갑니다. ㅋ Learn something new everyday. LOL
open source php 를 페이크로 다운받는건 아닌게, Wells Fargo aspx 도 다운받아서원본 소스 그대로 보여 줬거든요. 은행에서 open source 를 쓸리가 없는 관계로....
엔피씨님 말대로 옛날 크롬 개발버전을 어디서 얻어다 mod 했나? 구글링을 더 해보니까 크롬/Opera/firefox 에서 php header 까지는 원문 그대로 볼수 있다네요. 흠...
저는 이상하게 해킹에 관심이 많습니다. 10년전 '' or 1=1 --' 이걸로 중앙일보 한번 뚫어본 쾌감이 아직도 남아 있어서 그런가...
그때 이거 하나로 중앙일보 뿐만 아니라 asp 로 만들어진 대한민국 모든 사이트가 다 뚫렸다는.... ㅋㅋㅋ
아 그때부터 Basic 부터 차근차근 배웠어야 하는데.. crack tool 쓰는거나 재미있어 하는 바람에.... ㅠㅠ
게임하는 사람들한테 많이 듣는 명언이 생각나네요!
"본디 재공게임이 아닌 프리서버 하다가 본 게임 재미 날려먹은적 많다"
"본디 재공게임이 아닌 프리서버 하다가 본 게임 재미 날려먹은적 많다"
음.. 아픈데를 콕콕 찔러주시는 센스. ㅋㅋㅋ
저는 옛날부터 fla 만드는건 골이 아프고, swf 을 fla 로 변환시켜서 고쳐쓰는게 더 편하고, 웹사이트 구축은 골이 아프고, 폴더까지 통째로 다운받아서 수정해서 쓰는게 더 편하더라구요. 골치아픈건 무조건 tool 사용으로 해결보려고 하고...
시작부터 잘못 배운듯... DOS 때 부터 DOS command 가 헷갈려서 pctool 이라는 shell 프로그램을 썼지요. 엔피씨님 태어나기 전에 만들어진 app 일거에요 아마. ㅋㅋㅋ 이러니 지금도 rel path 도 헷갈려 합니다. -..-;;
IT 가 본업이 아닌게 천만다행.... ㅋㅋㅋ
저는 옛날부터 fla 만드는건 골이 아프고, swf 을 fla 로 변환시켜서 고쳐쓰는게 더 편하고, 웹사이트 구축은 골이 아프고, 폴더까지 통째로 다운받아서 수정해서 쓰는게 더 편하더라구요. 골치아픈건 무조건 tool 사용으로 해결보려고 하고...
시작부터 잘못 배운듯... DOS 때 부터 DOS command 가 헷갈려서 pctool 이라는 shell 프로그램을 썼지요. 엔피씨님 태어나기 전에 만들어진 app 일거에요 아마. ㅋㅋㅋ 이러니 지금도 rel path 도 헷갈려 합니다. -..-;;
IT 가 본업이 아닌게 천만다행.... ㅋㅋㅋ
"엔피씨님 태어나기 전에 만들어진.." "엔피씨님 태어나기 전에 만들어진.." "엔피씨님 태어나기 전에 만들어진.." "엔피씨님 태어나기 전에 만들어진.." "엔피씨님 태어나기 전에 만들어진.." "엔피씨님 태어나기 전에 만들어진.." "엔피씨님 태어나기 전에 만들어진.." "엔피씨님 태어나기 전에 만들어진.." "엔피씨님 태어나기 전에 만들어진.." "엔피씨님 태어나기 전에 만들어진.."
감사합니다 저 아직 젊다는게 느껴집니다!!
감사합니다 저 아직 젊다는게 느껴집니다!!
