스크립트 언어를 숨긴 이미지 파일을 업로드해서 원격 실행되도록 하는 공격

2007년에 유명해진 보안 문제 하나를 기록해 둔다.

스크립트 언어를 숨긴 이미지 파일을 업로드해서 원격 실행되도록 하는 공격이다.
http://japan.cnet.com/news/sec/story/0,2000056024,20351284,00.htm
http://www.itmedia.co.jp/enterprise/articles/0706/20/news024.html

우선 현상 설명에 관한 자료이다. (일본어)
画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策
http://www.tokumaru.org/d/20071210.html#p01


아래는 예방책을 적어둔 글들이다.

http://blog.ohgaki.net/c_ra_a_a_ia_ca_la_lphpa_sa_fa_a_a_a_effa
http://blog.ohgaki.net/a_sa_ma_oa_a_a_ca_sa_ma_la_fa_a_ei_a_ran
http://www.1x1.jp/blog/2007/06/php_exploite_code_in_gif.html
http://rockstock2008.blog17.fc2.com/blog-entry-9.html

XAMPP v2.5 버전에서 ServerSignature, ServerTokens 표시/비표시 버그 관련

XAMPP v2.5 버전에서 ServerSignature, ServerTokens 표시/비표시 관련.

XAMPP (이하 쟘프) 는 아주 편리한 Apache, MySQL, PHP, Perl 패키지이다. 리눅스용도 윈도우즈용도 있고, 몇 년 전부터는 Tomcat 이나 여러 DB를 모두 수용하고 있다.

손으로 이 모두를 별개 설치하면 하루 종일 걸릴 것을 이 패키지는 단 20분 만에 해결한다. 안정성 및 속도도 나쁘지 않고, 각종 부가 옵션 및 플러그인도 기본 장착이 돼 있으니 개발 단계에서는 그야말로 화려한 불꽃 기관총 받침대이다(표현이 좀 그렇다?!).

이 쟘프의 단점이 하나 있는데, 실제 서비스로 돌리기에는 보안성이 떨어진다. 그도 그럴 것이 너무 많은 옵션을 풀어놓았기 때문이다. 예를 들어 404나 500 등의 HTTP 에러 상황에서 보이는 서버의 버전이나 각종 정보들이 풀로 다 나타난다.

이 서버의 버전이나 각종 정보들은 ServerTokens 혹은 ServerSignature 라고 부르는데... 이를 숨기는 것이 안전하다. 이와 관련한 httpd.conf 수정법을 소개한다.

쟘프의 conf/extra/httpd.default.conf 를 열어서

# only display 'apache'
ServerTokens Prod

# do not display additional information
ServerSignature Off

위와 같이 해당 옵션을 오프나 간단한 내용출력 항목으로 바꾸면 된다. 그런 후 아파치를 재기동하면 서버의 각종 버전 정보가 보이지 않게 된다.

안심이다.

* 참고로 기본적인 쟘프의 아파치 설정 파일은 conf/httpd.conf 입니다만, 이 파일에 위 설정을 넣어도 나중에 httpd.default.conf가 다시 설정되니까 소용이 없다. 반드시 extra 폴더의 설정을 수정/재기동하자.

좋은 글 소개 - 테이블은 이제 그만 쉬어야 할 때

일모리님이 쓰신,

Div가 왜 Table 태그보다 활성화돼야 하는지 알려주는 좋은 글입니다.

[테이블은 이제 그만 쉬어야 할 때]

http://ilmol.com/wp/2005/06/09/25/

드루팔(Drupal)에 관한 한글 팁들이 모여있는 사이트 소개

강력한 CMS 오픈소스인 드루팔(Drupal)에 관한 한글 팁들이
모여있는 사이트를 소개한다.

http://palpal.org

한글로 Drupal 관련의 각종 튜닝이니 스킨(테마,Theme) 등을 소개하고 있다.