반응형
반응형

php의 allow_url_fopen 설정의 보안 취약점에 주의하세요

BEST 질문 | 조회 2486
최근 발생하고 있는 홈페이지 변조나, 피싱 사이트로의 악용은 대부분 게시판의 취약점이나, php 의 취약점에 의해 발생되고 있습니다. 이중에 가장 빈번한 것이 php 의 외부 사이트 소스 실행 기능 (allow_url_fopen)으로 악의적인 프로그램이 실행되어져서 발생이 되고 있습니다.

이러한 문제로 인하여 한국정보보호진흥원에서는 allow_url_fopen 을 허용하지 않기를 권고 하고 있습니다.

allow_url_fopen 을 허용하게 되면 보안적으로 심각한 문제를 초래 할 수 있습니다.

해당 기능을 켜두게 되면, 원격에서 프로그램을 웹사이트에 삽입하여 실행(PHP injection), 대량으로 웹사이트를 변조 할 수 있게 되므로 어느날 갑자기, 홈페이지 화일이 통채로 지워지거나, 데이터베이스 내용이 모두 사라질수도 있습니다.

(관련 내용 URL : http://www.kisa.or.kr/kisa/notics/jsp/press_view.jsp?g_id=kisa&cgubun=&keyField=title&gid=kisa&b_gubun=04&cpage=1&page=1&dno=3&d_no=3&r_no=0&keyWord=)

저희 카페24에서는 기본적으로 해당 기능이 모두 off 로 설정이 되어 있으며, 따라서 고객님께서는 가급적 allow_url_fopen 기능이외에 다른 방법으로 구현을 하시거나, 아래의 예시와 같은 function 을 만들어서 사용하시는 것을 권고합니다. (HttpRequest, http_get, fsockopen 등의 함수로 구현이 가능합니다.)

(allow_url_fopen 기능이란 php 에서 include 를 사용할때 URL 방식으로 파일을 include 할수 있도록 해주는 기능입니다.)

(해당 내용이 이해가 되지 않거나, 보안의 위험성을 감수하더라도 반드시 allow_url_fopen 을 사용하셔야 한다면, 고객센터로 연락을 주시면 친절히 상담해 드립니다.)

-----------------------------------------------------------------------------------------

function get_url_fsockopen( $url ) {
$URL_parsed = parse_url($url);

$host = $URL_parsed["host"];
$port = $URL_parsed["port"];
if ($port==0)
$port = 80;

$path = $URL_parsed["path"];
if ($URL_parsed["query"] != "")
$path .= "?".$URL_parsed["query"];

$out = "GET $path HTTP/1.0\\r\\nHost: $host\\r\\n\\r\\n";

$fp = fsockopen($host, $port, $errno, $errstr, 30);
if (!$fp) {
echo "$errstr ($errno)<br>\\n";
} else {
fputs($fp, $out);
$body = false;
while (!feof($fp)) {
$s = fgets($fp, 128);
if ( $body )
$in .= $s;
if ( $s == "\\r\\n" )
$body = true;
}

fclose($fp);
echo $in;
}
}

-----------------------------------------------------------------------------------------
반응형
반응형
Holder.js : cavas요소로 브라우저에서 이미지 자리를 표시할수 있는 data URI를 사용한다.

https://github.com/imsky/holder

 

 

 

반응형
반응형

한 가지 뜻을 세우고, 그 길로 걸어가라!
잘못도 있으리라!
실패도 있으리라!
그러나 다시 일어나서 앞으로 나아가라!
반드시 빛이 그대를 맞이할 것이다!
-칸트

달로 가는 로켓은 항로를 이탈해있는 시간이
무려 전체의 90%라고 합니다.
끊임없이 실패와 교정을 반복하면서 달에 이르는 것입니다.
우리 인생도 마찬가지입니다.
반드시 성공하겠다는 꿈과 의지를 가지고
모든 에너지를 한 곳에 집중시키면
언젠가는 반드시 성공하게 되어 있습니다.

반응형
반응형
위대한 영혼은
모두 오해를 받았다.
오늘 생각한 것은 오늘 분명하게 말하라.
그러면 오해를 받을 게 분명하다고?
오해를 받는 게 그렇게 안 좋은 일인가?
피타고라스, 소크라테스, 예수, 루터, 코페르니쿠스,
갈릴레오, 뉴턴은 모두 오해를 받았다. 지금까지
존재했던 사람들 가운데서 순수하고 지혜로운
영혼은 누구나 오해를 받았다.


- 랄프 왈도 에머슨의《스스로 행복한 사람》중에서 -


* 오해는 무섭습니다.
사람을 송두리째 삼킬 수도 있습니다.
저도 아침편지 시작 초기에는 온갖 오해와 억측,
곡해에 시달렸고 '청와대 해직' 위기도 있었습니다.
'깊은산속 옹달샘'을 꿈꾼 뒤로는 더욱 큰 오해와
편견이 저를 힘들게 했습니다. 그러나 그 오해에
무너지지 않고 그 너머 세상을 바라보니,
새로운 지평이 보이기 시작했고
위대한 세상이 열렸습니다.

 

반응형

'생활의 발견 > 아침편지' 카테고리의 다른 글

간절하지 않으면 꿈꾸지 마라  (0) 2013.03.13
화창한 봄날  (0) 2013.03.12
'살림'의 지혜!  (0) 2013.03.08
믿음  (0) 2013.03.07
'행복했던 그날'  (0) 2013.03.06
반응형
http://en.lichess.org/forum/general-chess-discussion/form

 

블랙 플레이어가 체크메이트를 해야 CAPTCHA 가 완성이 된다.

 

 

 

 

 

 

반응형
반응형

일교차가 심하다.

새벽 5시 40분. 너무 춥다. 입김나오고.

6시 입수

체조하고

자유형 4

오리발 착용

자유형 10

자유형 1분 인터벌 50m 12? 14?!

한바퀴 걷고

접영 킥 4

접영(오른/왼/양팔) 4

접영 50m 5

빡시다~

 

반응형

'운동일지 > 수영' 카테고리의 다른 글

2013.03.14 수영일지  (0) 2013.03.14
2013.03.13 수영일지  (0) 2013.03.13
2013.03.09 수영일지  (0) 2013.03.09
2013.03.08 수영일지  (0) 2013.03.08
2013.03.07 수영일지  (0) 2013.03.07

+ Recent posts