웹마스터 팁
PHP에서의 SQL문 보안취약성
2002.09.09 14:44
CERTCC 메일링 리스트에서 받은 내용인데.. 제로보드도 예외가 아니라고 하더군요...
근데 우리서버엔 아무렇지도 않던뎅,..
Sung-jin Yun <chaos@ecrobot.com>
안녕하세요..
제가 얼마전에 작성해 두었던 문서인데, 여기 메일링 리스트에는 처음 올리네요.
magic_quotes_gpc 옵션이 Off인 상태에서 작동되는 DBMS연동 PHP 프로그램에 해당되는
보안 문제입니다. 이 문제점을 이용하면 비밀번호를 몰라도 게시판의 관리자 아이디로 로그인을
한다든가 하는 것이 가능해집니다.
http://lab.ecrobot.com/advisories/ec2002080801/
근데 우리서버엔 아무렇지도 않던뎅,..
Sung-jin Yun <chaos@ecrobot.com>
안녕하세요..
제가 얼마전에 작성해 두었던 문서인데, 여기 메일링 리스트에는 처음 올리네요.
magic_quotes_gpc 옵션이 Off인 상태에서 작동되는 DBMS연동 PHP 프로그램에 해당되는
보안 문제입니다. 이 문제점을 이용하면 비밀번호를 몰라도 게시판의 관리자 아이디로 로그인을
한다든가 하는 것이 가능해집니다.
http://lab.ecrobot.com/advisories/ec2002080801/
댓글 5
-
inging-zb41
2002.09.09 20:32
-
토끼군
2002.09.09 17:32
다행히도 제가 사용하는 계정은 magic_quotes_gpc=on입니다. :-) -
zero
2002.09.09 15:05
예~ 우리나라에서는 php설치할때 php-dist.ini 파일을 가지고 php.ini로 변경, 적용하기 때문에 거의 문제가 없을거에요.
php-recommend.ini 파일의 경우 magic_quotes_gpc가 off되어 있는데, php-dist.ini 파일에서는 기본적으로 on 되어 있기 때문입니다.
magic_quotes_gpc가 off일 경우 속도상의 장점이 조금 있다고 하지만;; on 해 놓는것이 더 좋을거 같네요. -
nos
2002.09.09 15:27
저 같은 경우는 가비아(gabia.com)에서 웹 호스팅을 받고 있습니다.
위 링크에 나와있는 보안상의 문제가 적용이 되더군요.
즉, 관리자 아이디와 비밀번호를 몰라도 관리자로 로그인이 되는 경우 입니다.
일단 링크에 나와있는 해결책에 따라
login_check.php 파일 앞부분을 수정 하였습니다.
$user_id = mysql_escape_string(trim($user_id));
$password = mysql_escape_string(trim($password));
수정후 이 문제는 해결 되었습니다.
이 후 제가 어떤 조치를 취해야 할 지..잘 모르겠네요 ^^;;; -
nos
2002.09.10 23:22
결국 오늘 가비아측에 전화해서
magic_quotes_gpc=off 에서 magic_quotes_gpc=on 로 바꾸도록 했습니다.
| 제목 | 글쓴이 | 날짜 |
|---|---|---|
| 보안설정을 하다^^ 유의할점. [3] | Dopesoul | 2002.10.14 |
| 오 이런... 죄송하군요 ㅠ.ㅜ [2] | 레드 | 2002.10.12 |
| 나만의 ftp서버 만들기 제2부 -serv-u 4.0- [12] | 레드 | 2002.10.09 |
| 나만의 ftp서버 만들기 제1부 -serv-u 4.0- [1] | 레드 | 2002.10.09 |
| 추천해드리는 보안공부 사이트 [3] | Dopesoul | 2002.10.05 |
| 리눅스 넋두리. [4] | Dopesoul | 2002.10.05 |
| Redhat 8.0 release! [22] | Dopesoul | 2002.10.01 |
리눅스용 apm 자동설치 스크립트
[10]
 | 이경재 | 2002.09.27 |
| 웹호스팅할때 좋은 간단한 백업스크립트 [1] | 김동현 | 2002.09.22 |
| 웹호스팅꽁수! 어느사용자가 얼만큼의 하드용량을 쓰고있는가? 알아봅시다. [1] | Dopesoul | 2002.09.22 |
| War3 베틀넷 운영 [5] | Dopesoul | 2002.09.20 |
| 운영체제별 보안 참조사이트 [4] | V(^o^)V | 2002.09.16 |
| apache + php + mysql + gd + freetype 설치 방법 [1] | 꽃게BBS | 2002.09.16 |
| PC 한 대에 2 개 또는 그 이상의 랜카드 꽂고 서버 운영하기. [2] | 김종환 | 2002.09.15 |
|
자동 apm 설치 쉘스크립트(리눅스)
[5]
| 김동현 | 2002.09.15 |
|
Win2k 터미널 서비스 연결시 MsTsc.Server 에러 때려잡기!!
| KKwang | 2002.09.10 |
| 레드헷 계열 사용하시는 분들 웹서버에 대해서...(APM연동) [11] | lanyan | 2002.09.10 |
| [re] 레드헷 계열 사용하시는 분들 웹서버에 대해서...(APM연동) | Dopesoul | 2002.09.14 |
| PHP에서의 SQL문 보안취약성 [5] | 김영빈 | 2002.09.09 |
|
[Apache] 윈도우 NT 계열에 서비스 등록하기
[1]
| 스카이 | 2002.09.08 |
역시 먼가 이상했어