그누보드 세션(session)정보가 노출되는 문제 대응방법 - 아파치 및 디렉토리 변경 > 그누보드5 팁자료실

그누보드5 팁자료실

그누보드 세션(session)정보가 노출되는 문제 대응방법 - 아파치 및 디렉토리 변경 정보

그누보드 세션(session)정보가 노출되는 문제 대응방법 - 아파치 및 디렉토리 변경

본문

클플같은 프록시(?), 프론트 서버(캐시서버)가 있다면 https://sir.kr/cm_free/1628564 해당 게시물 참조하세요

 

config.php 설정파일을 수정하는 2번 방식을 추천하지만 무심결에 덮어쓰기 패치를 할소지가 있는 관계로 config.php => config.dist.php 같이 파일명 변경해서 배포되기 전까지는 패치때 조심해야합니다

 

1. Apache mod_authz_core 가 작동한다는 가정에 data/session/.httaccess 아래코드 추가후 접근가능한지 체크


# Apache 2.2
<IfModule !mod_authz_core.c>
    Order deny,allow
    Deny from all
</IfModule>
# Apache 2.4
<IfModule mod_authz_core.c>
    Require all denied
</IfModule>

 

 2. 세션 저장 디렉토리 변경


// File: config.php
// 이미 설치했다면, 디렉토리를 생성하거나 이름을 변경해줘야됨
define('G5_SESSION_DIR',    'session-31d8d');
/*
 * `DocumentRoot` 상위 디렉토리에 권한이 있을 경우 해당 PATH로 설정을 추천함
 * example:
 * define('G5_SESSION_PATH',   G5_PATH.'/var/'.G5_SESSION_DIR); // 설치 하위 디렉토리
 */
define('G5_SESSION_PATH',   dirname(G5_PATH).'/var/'.G5_SESSION_DIR); // `DocumentRoot` === G5_PATH 경우
추천
4

댓글 2개

서버 권한을 가졌을 경우에 가능한 정보를 일반 웹호스팅 권한 유저가 불가능한 부분을 올리시면 조금 그렇습니다.

이미 다방에서 조차 index list 자체를 막고 있습니다...

보안 방법은 리눅스 세팅 사용자라면 10년 전부터 no index 사용하고 있을거 같습니다...

저 세팅을 못하시면 흔한말로 구멍인것이죠....

국내 수많은 리눅서 들이 안내한 부분 같습니다...

서버와 프로그램의 레이어(?) 단이 다릅니다....

지금은 php 떠나서 다른계통으로 살고 있습니다만 제가 세팅 하고 움직이던 시절에는 다들 기본으로 한 부분 같습니다.

반대로 저 경로의 파일 라스트가 왜 보이는것인가요 ?????

무슨말씀이신지요?
Index가 아니고 파일 엑세스 문제입니다
해당글의 팁은 웹호스팅 환경에서도 작동합니다
다방24은 2번팁 루트 상위 디렉토리도 가능합니다
전체 2,411 |RSS
그누보드5 팁자료실 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT