php 의 보안이슈(정확히는 apache인가?)
알아둘일
2008. 9. 23. 18:15
어! 저런 것이 가능하군.
http://phpschool.com/gnuboard4/bbs/board.php?bo_table=tipntech&wr_id=63126
.php 만 실행되어야 하는데, .php.en, .php.1, .php.2 등이 실행이 되버리면 어쩌란 말인가?
상식적으로 저게 되는 이유를 모르겠다.
버그가 아니라도, 저런 위험성을 내포하고 있다는 것은 꽤 큰 보안이슈임에 틀림없다.
정확하지는 않지만, apache 의 php , perl, python 등 Server Side Script 를 처리하는 방법의 문제가 아닐까 생각이 든다. 외국 사례를 찾아보다 보니 꽤 오래전에 언급이 되었나보다.
http://seclists.org/vulnwatch/2006/q3/0002.html
근데, 저 이슈가 왜 잠잠(?)했었지?
다들 별로 대수롭지 않게 생각했나?
옵션으로 처리가능한지 모르겠지만, 우분투, Centos 등의 기본설정으로도 저게 가능하다면 문제가 좀 심각해 보인다.
오래전부터 가능했던 문제인듯 싶은데, 검색능력이 딸려서 어떻게 해결되었는지 모르겠다.
apache 쪽에 분명 관련 내용이 있을 법 한데. 못찾겠다.
직접 문의를 해볼까?
http://phpschool.com/gnuboard4/bbs/board.php?bo_table=tipntech&wr_id=63126
.php 만 실행되어야 하는데, .php.en, .php.1, .php.2 등이 실행이 되버리면 어쩌란 말인가?
상식적으로 저게 되는 이유를 모르겠다.
버그가 아니라도, 저런 위험성을 내포하고 있다는 것은 꽤 큰 보안이슈임에 틀림없다.
정확하지는 않지만, apache 의 php , perl, python 등 Server Side Script 를 처리하는 방법의 문제가 아닐까 생각이 든다. 외국 사례를 찾아보다 보니 꽤 오래전에 언급이 되었나보다.
http://seclists.org/vulnwatch/2006/q3/0002.html
근데, 저 이슈가 왜 잠잠(?)했었지?
다들 별로 대수롭지 않게 생각했나?
옵션으로 처리가능한지 모르겠지만, 우분투, Centos 등의 기본설정으로도 저게 가능하다면 문제가 좀 심각해 보인다.
오래전부터 가능했던 문제인듯 싶은데, 검색능력이 딸려서 어떻게 해결되었는지 모르겠다.
apache 쪽에 분명 관련 내용이 있을 법 한데. 못찾겠다.
직접 문의를 해볼까?
반응형
'알아둘일' 카테고리의 다른 글
zend studio(zend framework) + xampp 개발환경시 주의사항 (0) | 2008.09.28 |
---|---|
2008년 9월 - 대단한 기업들의 생일 (2) | 2008.09.27 |
vista , virtualbox , vnc - V3 의 만남? (0) | 2008.09.08 |
개인정보유출 사례 - 옥션부터 GS칼텍스 까지 (0) | 2008.09.05 |
스팸메일의 유형은 어떤것이 많을까? (0) | 2008.08.14 |
WRITTEN BY
- 1day1
하루하루 즐거운일 하나씩, 행복한일 하나씩 만들어 가요.
,