안녕하세요. 보안관련 질문입니다.
본문
약 1년 반 전에 그누보드로 개인홈페이지를 만들어 국내 여행정보 및 유튜브 블로그를 소개하는 내용으로 비영리로 운영하고 있습니다.
https로 접속하게 하고 있습니다.
요즘은 사이트에 접속하는 인원이 조금씩 늘고 있어요.
원래 비영리를 목적으로 내가 소개하는 정보만 올리도록 되어 있어
글쓰기나 댓글 권한은 어느 게시판이든 5이상으로 해놓고 있고
회원 가입한 사람에게 권한을 부여한 적이 없습니다.
접속자가 늘다보니
보안에 대해 신경이 쓰이는데요.
다른 사람에게 피해를 주면 안되니까요.
누가 제 사이트에 불법 코드를 심어 놓을 수 있는지 싶어서요....
질문1) 현재 저의 사이트에 그누보드 버젼이 몇인지 알려면 어떻게 알 수 있나요?
질문2) 그누보드 보안 패치를 한다는 것은 최신 버젼만 하면 되는건가요?
질문3) 보안패치를 하다보면 이전에 작성한 사이트 코드가 헝크러지나요?
질문4) 다른 사람이 그누보드 코드만을 이용해서 제 사이트에 ftp 비번도 모르는데 들어와서 다른 코드를 심어놓을 수 있나요? db에 다른걸 저장할 수 있다고 쳐도......코드 그자체인 그누보드 bbs에 있는 예) move.php를 다른 내용으로 바꾸어 놓을 수 있나요?
답변 2
https://github.com/gnuboard/gnuboard5/blob/master/version.php#L5
최신버전이 이전버전의 문제점을 보완한다고 볼수 있으나
사이드이펙트로 없던 문제가 생기기도 하므로
최신버전이 완전한 답이라고 단언할수는 없지만
그래도 릴리즈 히스토리를 확인하며 최신버전을 유지하는것이 좋습니다.
https://github.com/gnuboard/gnuboard5/releases
최신버전을 업데이트 할때 형상관리 시스템이 관리하는 파일중 수정한 부분이 있다면 형상관리 시스템이 수행하는 자동 code merge 가 제대로 이루어지지 않아 파일 내용이 깨지는 경우가 있습니다.
따라서 가급적 형상관리에 있는 파일들은 건드리지 않는것이 좋습니다.
보안이 고려되지 않은 코드나 로직이 있는 경우 웹쉘과 같은 형태의 공격을 당해 권한탈취가 이루어진다거나 권한이 느슨하게 되어있는 경우 충분히 파일변조가 발생할수 있습니다.
오픈코드는 보안에 취약합니다, 패치도 구멍 뚤린거 메꾸는거지 보안이란,,,패치는 순차적으로 해야지 최근거만 해서는 오작동 및 문제가 있습니다, 그리고 애초 취약한걸 어떻게 합니까 할수있는 정도 하고 뚫리면 그런갑다 해야지,,,그게 싫으면 시크릿코드를 짜던지요
답변을 작성하시기 전에 로그인 해주세요.
