보안관련 버그인지... 정보
보안관련 버그인지...본문
스크립트 파일의 업로드를 막고 이미지 파일만 열어 놨습니다.
그랬더니 확장자만 이미지인 JPG, GIF로 된 스크립트 파일이 올라오고
그게 실행이 되고, 메인페이지가 변조 되고 있습니다.
이게 PHP(5.2.0)의 버그인지...아니면 그누보드의 버그인지 몰라서 질문 드립니다.
확장자만 이미지인 스크립트 파일의 업로드를 막을 수 있나요?
그랬더니 확장자만 이미지인 JPG, GIF로 된 스크립트 파일이 올라오고
그게 실행이 되고, 메인페이지가 변조 되고 있습니다.
이게 PHP(5.2.0)의 버그인지...아니면 그누보드의 버그인지 몰라서 질문 드립니다.
확장자만 이미지인 스크립트 파일의 업로드를 막을 수 있나요?
댓글 전체
cheditor와 같은 웹편집기의 경우에는 flex에서 1차로 방어가 가능하지만
첨부파일에서 그렇게 올리는 것은 원천적으로 막을 수 없습니다라고 생각 했었는데
write_update.php를 수정하면 충분히 가능할거 같기도 하네요.
파일의 확장자가 img 파일인데, getimagesize 정보가 없다면 이미지 파일이 아닌거죠.
나중에 시간이 날때 수정해서 올려드리죠.
첨부파일에서 그렇게 올리는 것은 원천적으로 막을 수 없습니다라고 생각 했었는데
write_update.php를 수정하면 충분히 가능할거 같기도 하네요.
파일의 확장자가 img 파일인데, getimagesize 정보가 없다면 이미지 파일이 아닌거죠.
나중에 시간이 날때 수정해서 올려드리죠.
감사합니다. ^^
http://sir.co.kr/bbs/board.php?bo_table=g4_tiptech&wr_id=19056
이걸루 테스트 해보세요. 확장자만 이미지인거 다 방어 가능할 겁니다.
이걸루 테스트 해보세요. 확장자만 이미지인거 다 방어 가능할 겁니다.
그누보드 최신 버전으로 패치 하세요