정보유출 관련질문입니다.. 정보
정보유출 관련질문입니다..
본문
아래글은 일전에 관리자님의 글 입니다... G4에서는 common.php에 관련 부분이 있어
아래와 같이 파일명을 바꿔 사용해봤더니 DB에러라는 메시지를 뿌립니다....
다른 방법이나, 또는 G4에서는 정보유출 걱정을 하지 않아도 될런지요?.
==========================================================
그누보드도 마찬가지로 여러가지 정보가 유출되고 있음을 확인하였습니다.
조금이라도 보안을 강화하시려면 dbconfig.php 를 다른 이름으로 바꾸신 후 index.php 의 dbconfig.php 를 바꾼 이름으로 대체하면 될것 같습니다.
여기서 조금이라도란 얘기는 100% 자신할 수 없기 때문입니다.
참고로 퍼미션 변경은 전혀 도움이 되지 않네요
아래와 같이 파일명을 바꿔 사용해봤더니 DB에러라는 메시지를 뿌립니다....
다른 방법이나, 또는 G4에서는 정보유출 걱정을 하지 않아도 될런지요?.
==========================================================
그누보드도 마찬가지로 여러가지 정보가 유출되고 있음을 확인하였습니다.
조금이라도 보안을 강화하시려면 dbconfig.php 를 다른 이름으로 바꾸신 후 index.php 의 dbconfig.php 를 바꾼 이름으로 대체하면 될것 같습니다.
여기서 조금이라도란 얘기는 100% 자신할 수 없기 때문입니다.
참고로 퍼미션 변경은 전혀 도움이 되지 않네요
댓글 전체
역시... 경험을 통해서...
얻으신 방법인 듯 합니다.
어디선가 한 두번쯤(?!)은 접해 봤던 내용들이지만,
실제로 그것을 응용할 수 없다는 부분도 그렇구요.
얻으신 방법인 듯 합니다.
어디선가 한 두번쯤(?!)은 접해 봤던 내용들이지만,
실제로 그것을 응용할 수 없다는 부분도 그렇구요.
재미난 또다른 방법
http://eznara.info/gnuboard4.00.17/%20.php => http://eznara.info/gnuboard4.00.17/%2520.php
http://eznara.info/gnuboard4.00.17/test.php
%20.php 내용
<?
echo "잘보이나요? %20.php로 접근하면 보이질 않죠?";
?>
test.php 내용
<?
include "%20.php";
?>
웹서버에서 파싱이 되는 직접적인 문자열을 파일명으로 씀으로서 web에서는 볼수가 없게 하는거죠..
단점은 해당 캐릭셋을 다른것으로 대체하여 동일 문자를 만들면 우회 하게 됩니다.
utf-8 또는 basic64 인코딩이나 뭐 그런것들 아시죠? #$1342 <-- 이런입력으로 :)
http://eznara.info/gnuboard4.00.17/%20.php => http://eznara.info/gnuboard4.00.17/%2520.php
http://eznara.info/gnuboard4.00.17/test.php
%20.php 내용
<?
echo "잘보이나요? %20.php로 접근하면 보이질 않죠?";
?>
test.php 내용
<?
include "%20.php";
?>
웹서버에서 파싱이 되는 직접적인 문자열을 파일명으로 씀으로서 web에서는 볼수가 없게 하는거죠..
단점은 해당 캐릭셋을 다른것으로 대체하여 동일 문자를 만들면 우회 하게 됩니다.
utf-8 또는 basic64 인코딩이나 뭐 그런것들 아시죠? #$1342 <-- 이런입력으로 :)
좋은 정보 감사합니다....^^
앗... 늘상 접하지만 생각지도 못했던 방법을...
감사합니다^^;
감사합니다^^;
제방법은 유출이 될까 공개 하지 않았으나.. 이야기 해드려야 할꺼 같네요..
어짜피 확실한 방법은 아니지만 WEB상에서 확인을 못하는 파일로 변경하는 방법입니다.
.dbconfig.php <- 이해가 되시는지?
또는
/./.dbcon.php
또는 www에 억세스할수없고 계정에서 접근가능한 디렉토리
원래의 위치 /user_id/public_html/gnuboard4/dbconfig.php 라고 가정하면
바꾸는 위치 /user_id/./.dbcon.php 라고 변경후
common.php 안에 절대경로가 아닌 상대경로로 해당 파일의 위치를 잡으시면됩니다.
////////////////// 수정전 //////////////////////
$dbconfig_file = "dbconfig.php";
if (file_exists("$g4[path]/$dbconfig_file"))
////////////////////////////////////////////////
////////////////// 수정후 //////////////////////
$dbconfig_file = ".dbcon.php";
if (file_exists("../.././$dbconfig_file"))
////////////////////////////////////////////////
이와 같은식이라면 웹으로는 db파일을 원천적으로 보지 못하게 막을수있습니다.
단, 계정을 치고 들어오면 방법없습니다.
어짜피 확실한 방법은 아니지만 WEB상에서 확인을 못하는 파일로 변경하는 방법입니다.
.dbconfig.php <- 이해가 되시는지?
또는
/./.dbcon.php
또는 www에 억세스할수없고 계정에서 접근가능한 디렉토리
원래의 위치 /user_id/public_html/gnuboard4/dbconfig.php 라고 가정하면
바꾸는 위치 /user_id/./.dbcon.php 라고 변경후
common.php 안에 절대경로가 아닌 상대경로로 해당 파일의 위치를 잡으시면됩니다.
////////////////// 수정전 //////////////////////
$dbconfig_file = "dbconfig.php";
if (file_exists("$g4[path]/$dbconfig_file"))
////////////////////////////////////////////////
////////////////// 수정후 //////////////////////
$dbconfig_file = ".dbcon.php";
if (file_exists("../.././$dbconfig_file"))
////////////////////////////////////////////////
이와 같은식이라면 웹으로는 db파일을 원천적으로 보지 못하게 막을수있습니다.
단, 계정을 치고 들어오면 방법없습니다.
그..그렇군요........^^;
뭔가 처음들어보는 젠드라는 글이 있는걸 보니 접근금지라는 느낌이 듭니다.... ㅜ.ㅜ
뭔가 처음들어보는 젠드라는 글이 있는걸 보니 접근금지라는 느낌이 듭니다.... ㅜ.ㅜ
그나저나 zzzz님 신규홈페이지 상단 타이틀이 시원하게 바뀌었네요^^;
참... 기존 홈페이지도 살았네요?!
참... 기존 홈페이지도 살았네요?!
apache환경 에서 zend optimizer 설치에 관한 내용입니다.
http://wiki.kldp.org/wiki.php/LinuxdocSgml/Zend%5FOptimizer-KLDP
http://wiki.kldp.org/wiki.php/LinuxdocSgml/Zend%5FOptimizer-KLDP
젠드 옵티마이져는 젠드 엔진이므로 기본적으로 설치를 apm + zend를 설치하실꺼고
zend 컴파일러로 컴파일하셔야 할껍니다. :)
zend 컴파일러로 컴파일하셔야 할껍니다. :)
서버를 뚫는 다는건 전체를 말하는 거니, dbconfig.php 랑은 상관이 없어 보입니다.
만약 자신의 계정을 보안하려면 dbconfig.php 를 `젠드` 하길 권장합니다.
만약 자신의 계정을 보안하려면 dbconfig.php 를 `젠드` 하길 권장합니다.
강추..
그런데 젠드는 어떻게 해야 하나요?
그런데 젠드는 어떻게 해야 하나요?
트라이얼 버전이 있다고 하던데... 그걸 써도 될 듯 합니다.
이전에 prosper님께서 하신 말씀도 있고...
어차피 계정이나 서버가 뚫리면 끝장이라고 합니다.
완벽한 보안은 없다고 합니다.
어차피 계정이나 서버가 뚫리면 끝장이라고 합니다.
완벽한 보안은 없다고 합니다.
