보안 정책에 관한 문의

현재접속자 최신글 매뉴얼 FAQ
그누보드5
그누보드6
가이드
포럼
  • Q&A
  • 파이써니스타
  • 이슈
  • 버그신고
  • 사용후기
    • 자료실
  • 다운로드
  • 팁자료실
  • 스킨
  • 테마
  • 플러그인
    • Q & A
    궁금한 게 있으신가요? 지금 질문해보세요!
    솔루션
    프로그래밍
    서버
    사이트운영
    컨텐츠몰
    나의 재능을 팔아보세요!
    부가서비스
    프로모션! 신용카드 결제수수료 2.9%
    제작의뢰
    커뮤니티
    커뮤니티
    소모임
    스터디
    강좌
    기타
    보안 정책에 관한 문의

    QA

    보안 정책에 관한 문의

    본문

    요즘 보안에 관한 문제들로 인해 아래와 같은 공문이 내려왔습니다.

    그누보드가 아래와 같은 보안지침을 따르고 있을 까요?

    1. 파일 업로드가 가능한 전체 게시판의 파일 업로드 소스의 확장자 제한 가능을 
        화이트 리스트 기반으로 수정하여 .hwp, .txt, .jpg, .gif, .pdf 등의 문서,
        이미지 파일 확장자만 업로드 가능하도록 변경

    2. 파일 업로드 기능 제공시, 업로드가 허용된 확장자만 가능토록 Server Side에서 제한

    3. 업로드 되는 파일을 저장할때 파일명과 확장자를 추측할 수 없는 무작위 문자열 및 실행 불가능한 확장자로 
        변경하여 저장

    4. 파일이 업로드 되는 디렉토리는 실행 권한 및 스크립트 실행설정 제거

    저도 소스를 살펴보고 있지만 경험이 좀 부족해서 애를 먹고 있습니다. ㅠ.ㅠ 

    해당 그누보드 버전 : 4.09.02 (06.10.10)
     
    #그누보드4

    이 질문에 댓글 쓰기 :

    답변 2

    처음으로 자기소개 전체게시물 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색 님의 답변

    220.♡.♡.138

    일단은 최신버전으로 업데이트를 해보심이 좋을듯 하시며


    -------------------------------------------------------------------------------------------------------

    요즘 보안에 관한 문제들로 인해 아래와 같은 공문이 내려왔습니다.

    그누보드가 아래와 같은 보안지침을 따르고 있을 까요?

    1. 파일 업로드가 가능한 전체 게시판의 파일 업로드 소스의 확장자 제한 가능을 
        화이트 리스트 기반으로 수정하여 .hwp, .txt, .jpg, .gif, .pdf 등의 문서,
        이미지 파일 확장자만 업로드 가능하도록 변경

       -> 이미 실행되고 있는 기능이며 그누보드 관리자에서 파일의 업로드 체크 부분이 존재합니다.
      -> 환경설정 부분에 보시면 -> 이미지 확장자 / 플래쉬 확장자 같은 제한이 가능합니다.
      -> 이외의 부분은 bbs/write_update.php 파일에서 변경을 하여 기능을 더욱 추가 사용 가능합니다.

       -> 저같은 경우에는 아예 업로드 가능한 아이피대역 자체를 -_-;; 바꾸어서 관리진 내지 담당기관이외에는 파일 업로드가 불가능 하게 해두었습니다만 ... 아무도 불평을 하지 않습니다 ;;


    2. 파일 업로드 기능 제공시, 업로드가 허용된 확장자만 가능토록 Server Side에서 제한
     ->  그누보드의 경우 웹호스팅 기반 사용자가 아무래도 많다 보니 서브 사이트 측면에서는 무리이고 웹호스팅 환경에서
           특정 사용자만을 위한 제한을 걸어주기에는 아무래도 무리가 발생할걸로 보입니다.
        1번에서 이미 어느정도 해결된 방안으로 보입니다.
        필요한 경우 업로드 파일의 속성을 체크하는 로직 추가로 필요한 TYPE 만 업로드 가능하시게 하시는
        방법도 있습니다. (확장자는 편법으로 넘길수 있지만 서버에서 체크하는 파일 속성까지는... 변조하기가 조금 힘들수 있습니다만 비스무리하게 체크되는 부분이 조금 문제점으로 남겠지만... 그래도 휠씬 안전한 방법이 되실수도 있을듯 합니다..)



    3. 업로드 되는 파일을 저장할때 파일명과 확장자를 추측할 수 없는 무작위 문자열 및 실행 불가능한 확장자로 
        변경하여 저장
        
       -> 이미 그렇게 저장이 되고 있습니다.... 실제 파일의 경우에는 이미
          그누4 기준으로 대충 입니다...
     
    bbs/write_update.php -> 163 번라인 이후로 보시면 되실듯 합니다.

    1.2.3 번 항목의 경우에는 이미 작성하신 버전에서도 지원이 되는 부분으로 생각이 됩니다.
    4번 항목의 경우에는 data/방안에 .htaccess 파일을 만드셔서 작동 하시게 하셔도 됩니다.
    서버 자체에서 .htaccess 기능을 지원하여야 가능합니다

    4. 파일이 업로드 되는 디렉토리는 실행 권한 및 스크립트 실행설정 제거
      -> 그누보드 4.34.25 (2012.04.30) 이전에도 지원하였으나 일단 배포 및 설치시  .htaccess 기능으로 지원하고 있습니다.
      -> 그나마 HISTORY 내역에서 찾아보기 쉬운 부분중 하나이네요

    저도 소스를 살펴보고 있지만 경험이 좀 부족해서 애를 먹고 있습니다. ㅠ.ㅠ (저역쉬 초보라 많이 헤메입니다 ㅠ.ㅠ)
    답변을 작성하시기 전에 로그인 해주세요.
    전체 29
    QA 내용 검색

    회원로그인

    인기태그
    #그누보드5(59611) #영카트5(16792) #php(14980) #그누보드4(10633) #게시판(3158) #javascript(2635) #그누보드(2346) #css(2044) #mysql(1509) #모바일(1271) #영카트(1270) #그누커머스(1178) #html(1099) #jquery(1013) #자바스크립트(936) #최신글(932) #DB(819) #로그인(793) #이미지(762) #여분필드(736)
    (주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
    사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
    © SIRSOFT