포럼
page_full_width" class="col-xs-12" |cond="$__Context->page_full_width">
xe보안 확실한가요?
2011.06.27 15:56
제가 xe를 단순 홈페이지 만드는 도구로만 썼고
보안쪽은 무지한대요
저희 과 학생회 홈페이지를 xe로 만들었습니다.
철저히 비공개 학생회 내 친목 사이트라 검색 봇같은거 막아놓은게 전부인데
학교 어떤 해킹동아리 회장님이 저희 홈페이지를 해킹했다고 하시는겁니다.
sql인젝션, 웹쉘 뭐라 하시는데 전 잘 모르겠더군요;;
뭐 여하튼 그래서 관리자 아이디 만드는데까지 성공했다고 하시더라구요
화가 났지만 일단 취약점이 있구나 하는데.... 아 정말 화가 나네요.ㅠㅠㅠ
xe버젼은 1.4.5.7입니다....
보안쪽은 무지한대요
저희 과 학생회 홈페이지를 xe로 만들었습니다.
철저히 비공개 학생회 내 친목 사이트라 검색 봇같은거 막아놓은게 전부인데
학교 어떤 해킹동아리 회장님이 저희 홈페이지를 해킹했다고 하시는겁니다.
sql인젝션, 웹쉘 뭐라 하시는데 전 잘 모르겠더군요;;
뭐 여하튼 그래서 관리자 아이디 만드는데까지 성공했다고 하시더라구요
화가 났지만 일단 취약점이 있구나 하는데.... 아 정말 화가 나네요.ㅠㅠㅠ
xe버젼은 1.4.5.7입니다....
댓글 10
-
老姜君
2011.06.27 15:59
-
착한악마
2011.06.27 17:34
ㅋㅋㅋㅋ 웃고 갑니다..대처 요령이 짱입니다.^^ -
나정생
2011.06.27 17:40
인젝션으로는 DB접근밖에 못합니다만 웹셀이 올라가면 서버는 손에 떨어진것입니다 일단
老姜君 님의 말처럼 빠루를 들고 찾아가는게 정석일거 같네요 인간이 자랑할게 그렇게 없나....
말하는걸로 보아서는 SQL인젝션까지 성공한거 같습니다. -
DRAWHOLIC
2011.06.27 18:52
같은과가 아닐지라도 같은 학교 학우, 게다가 동아리 회장이라면 고학번일테니
빠루를 들고 찾아가는건 너무 무모할것 같아요.
차라리 보안수준을 높이는 방법에 대해 조언을 부탁하는게 어떨까요. ㅎ
제대로 된 해킹동아리라면 방어에대한 스터디가 있을테니까요.
조언따위 없다. 당신의 웹사이트는 나의 해킹실력 향상을 위한 제물이었다. 라는 반응으로 나오면
어쩔 수 없이 전쟁입니다. -
무한탐구
2011.06.27 19:11
-
ezi
2011.06.27 19:51
오픈소스의 단점이라고할수있죠.. 공개되어있으니까요. -
쿨키드
2011.06.27 23:18
네이버도 털리는마당에.. 완벽한 보안은 없죠.제작의뢰에다가 한번 물어보세요 보안 패치도 의뢰하는사람 있는걸로아는데.
-
미니마스터
2011.06.30 00:01
보안서버를 서버 전구간에 다까시는게 어떠신지 ㅎㅎ 저희학교는 학생들에게 보안서버 지원해줘서 ㅎㅎ -
글문
2011.07.01 22:15
뭐 이런 소리 하면 열심히 하는데 재 뿌린다 말하겠지만 한마디 하면 이렇습니다. 홈페이지 제작 툴은 사회로 말하면 각종 중요 서류를 보관하는 금고와 같습니다 금고의 가장 중요한 기능은 잠금 장치입니다. 사이트로 말하면 보안이 되겠네요.위젯 애드온 이런 부수적인 것은 금고로 표현하면 금고 외장 치장하는것 비유가됩니다. 금고 껍데기 화려한 색깔 덧칠해보아야 정작 금고 잠금 장치 허접하면 이건 금고의 기능을 제대로 발휘하지 못합니다. xe 개발하시는 분들도 보안을 신경쓰겠지만 xe 개발할 때 최우선 과제가 보안이 되어야합니다. 보안을 유저가 매번 지적해줘서 보안 업데이트 하는데 이건 문제가 있습니다. xe 개발팀에 보안만 전문으로 전담하는 팀이 있어야 한다고 봅니다. 이 글을 읽어보면 1.4.5.7 버젼도 어딘가 보안이 뚫려 있지 않을까 심히 우려가 됩니다. -
SMaker
2011.07.03 15:42
보안만 전문으로 전담한다는 게 쉽지 않습니다.
XE의 경우 구조가 매우 복잡해서 더더욱 그렇고요.
하지만 이런 경우에는 일단 빠루들고 찾아가서 대가리를 조져놓고 시작하시거나, 아니면 경찰에 고소부터 하시는게 어떨까 싶습니다.