세션파일만 획득할 수 있다면 해킹이 가능한가요?
본문
보통 그누보드 설치할때 data 퍼미션을 707로 주잖아요?
그렇게 되면 data/세션폴더 (구형 그누보드) 가 일반엔에게도 열리는건데
세션파일만으로도 관리자 계정이 해킹이 가능하게 되는건가요?
궁금해서 여쭤봅니다~
답변 4
일반적으로 요즘은 주로 HTTPS 보안 프로토콜 및 세션아이디를 하이재킹을 방지가 잘 동작하므로 세션파일 노출로 인한 관리자 계정에 대한 해킹은 어렵습니다.
로그인된 상태의 기기에 타인이 접근하여 사용하여 조작 및 세션을 탈취했더라도 추가적인 검증과정도 있습니다.
고로, 세션파일 노출만으로 관리자 계정에 대한 해킹은 어렵다고 보시면 됩니다. 혹시 피해 사례나 의심, 우려가 있다면, 관리자 계정의 비밀번호 노출이나 주변인에 대한 점검을 해보세요.
---
세션 파일은 노출돼서 좋을 게 없고, 일부 비밀정보나 개인정보가 포함될 수 있으므로, 세션 파일에 접근이 되는 상태라면 접근을 제한해두세요.
퍼미션의 문제가 아니라 해당 세션파일에 대한 접근을 차단해야합니다.
최근에 설치하셨다면 이미 적용되어있을 수 있습니다.
이처럼 data/.htaccess 파일 끝에
RedirectMatch 404 /session/.*
이걸 추가해두시면 세션 파일에 대한 접근을 제한할 수 있습니다.
(403대신 404로 설정하는 게 더 현명한 방법입니다)
https://github.com/gnuboard/gnuboard5/commit/f4aa0d0cd867b662755e6e76831ed2f856a4e19e
이처럼 이에 대한 보안취약점으로 수정된 내용을 참고하세요.
관리자 페이지는 접근이 불가능합니다
네? 제가 궁금한건 세션파일로 관리자 해킹이 가능한지입니다... ㅠㅠ;
퍼미션 권한을 주는 이유가 거기에 잇습니다. 충분히 악용할 가능성이 있을것입니다.
예를들어 기존 세션 파일을 덮어쓰는 방식으로, 인증 정보를 위조한다라던지 뭐 그런식으로 공격을 할수가 있다라는것이지요.
하여 퍼미션 설정은 중요하니 꼼꼼히 체크하셔서 접근권한에 맞게 설정하시기 바랍니다.
퍼미션이 있다고 파일을 덮어쓸 수 있나요???
