묻고답하기
제로보드4 보안 문의
2016.09.18 23:51
안녕하세요.
잘 쉬셨는지요, 이제 또 출근이네요...
제로보드4가 보안 상 문제가 많고, 현재 더이상 지원을 하지 않는다는 것은 알고는 있습니다.
그럼에도 필요에 의해서 일부 사용하고자 하는데 신경써야할 부분이 있다면 조금이나마 신경을 쓰고 싶습니다.
제로보드4를 이용해서 운영하던 사이트를 2009년쯤 폐쇄하고, 데이터와 db는 백업해두었었는데요.
해당 사이트를 웹에 복구시켜놓고 방문자들이 글만 열람할 수 있게 하고자 합니다.
(로그인 불가, 회원 가입 불가, 글 작성 및 댓글 작성 불가, 다운로드 불가, 글 열람만 가능)
가상 서버에 centos6, apache, php5.3 설치 후 복구는 시켜두었고요.
우선 주민등록번호는 수집 불가로 변경되었으니 db에서 모두 삭제해두었습니다.
(당시에는 형식만 맞으면 통과되던 주민등록번호 수집이 있었죠..)
만에 하나를 위해서 회원 정보도 비밀번호 포함 세부 내용 거의 다 삭제할 예정입니다.
운영의 목적은 아니고 단지 예전 페이지를 되살려두고 싶습니다.
제로보드4가 보안이 취약하다는 이야기는 줄곧 들어왔지만,
어떤식으로 문제가 있는지 모르니 어디를 신경써야할지 모르겠습니다.
답변 부탁드립니다.
제로보드4는 관리를 안 한 지도 벌써 몇 년이 지나서 어떤 보안문제가 있는지조차 집계가 되지 않는 상황입니다.
공통으로 인클루드되는 스크립트 상단에 약간의 코드를 추가하여 $_GET, $_POST, $_REQUEST, $_COOKIE 등의 초전역변수와 register_globals로 생성되는 전역변수들 중 게시판 이름과 글번호 외에는 모두 제거하고, 게시판 이름과 글번호에도 특수문자가 들어가지 않도록 필터링한다면 읽기전용으로는 그나마 안전하게 운영할 수 있을지도 모르겠네요. 글쓰기, 댓글쓰기, 가입, 로그인, 관리자 화면 등에 사용되는 PHP 파일은 아예 지워버리고요.