오픈 소스 프로젝트 - XE 개발 포럼
글수 255
![[레벨:2]](./modules/point/icons/default/2.gif "포인트:685point (84%), 레벨:2/30"){kind=icon}
프로글래머김./files/config/db.config.php
한 서버에 계정을 갖고 있는 사람 누구든지
위 파일을 읽을 수 있습니다.
DB 패스워드까지 다 노출 됩니다. @,.@
한 서버에 계정을 갖고 있는 사람 누구든지
위 파일을 읽을 수 있습니다.
DB 패스워드까지 다 노출 됩니다. @,.@
![[레벨:21]](./modules/point/icons/default/21.gif "포인트:41920point (96%), 레벨:21/30"){kind=icon}
2008.07.07 15:58:17 (*.45.184.2)
![[레벨:1]](./modules/point/icons/default/1.gif "포인트:270point (75%), 레벨:1/30"){kind=icon}
발돋움서버 쪽 보안에 해당하는 문제 같습니다.
파일을 암호화 한다고 하더라도 복호화 하는 부분이 들어갈텐데
그 부분 조차 노출이 되겠죠...게다가 오픈 소스니...
파일을 암호화 한다고 하더라도 복호화 하는 부분이 들어갈텐데
그 부분 조차 노출이 되겠죠...게다가 오픈 소스니...
2008.07.07 16:38:16 (*.37.65.47)
![[레벨:5]](./modules/point/icons/default/5.gif "포인트:2745point (84%), 레벨:5/30"){kind=icon}
HNO3기본적으로 상위 디렉토리에 접근할 수 없다면 하위 디렉토리에도 접근할 수 없습니다.
예를 들어, 호스팅 유저는 모두 hostuser 라는 그룹을 부여받고, /home/id 디렉토리에 rwx 그룹 퍼미션이 적용되어 있지 않다면 그 하위 디렉토리에도 접근할 수 없어야 합니다.
2008.07.16 15:32:40 (*.8.18.250)
![[레벨:30]](./modules/point/icons/default/30.gif "포인트:519140point , 레벨:30/30"){kind=icon}
HNO3님의 말씀처럼 계정 사용자가 직접 access하는 걸 막는 방법은 group의 퍼미션 관리로 가능하고 웹서버(보통 nobody권한)으로 다른 계정에 들어가는 것은 php설정을 통해서 가능합니다.
매우 기본적인 설정들인데 모든 서버들에 적용되면 좋겠네요.
매우 기본적인 설정들인데 모든 서버들에 적용되면 좋겠네요.
2008.08.26 09:58:52 (*.221.8.146)
![[레벨:3]](./modules/point/icons/default/3.gif "포인트:1355point (94%), 레벨:3/30"){kind=icon}
Dustwo제로보드 설치시 랜덤한 키를 생성하고 이 키에 따라 디렉토리를 만들어 사용하면 어떨까요.
이외에도 db 설정 정보 외에 다른 캐쉬값들을 볼 수 있다는 것도 있는지라...
다른 서버에서 원격 include 가능하도록 설정 했을 경우 제로보드 파일들을 include 할 수 있습니다.
이런 설정은 웹호스팅 업체들의 경우라면 주의하겠지만, 개인 유저라든가 직접 서버를 돌릴 경우 그리 심각하게 생각지 않는다면 설정해서 사용할 수 있기 때문에...
이외에도 db 설정 정보 외에 다른 캐쉬값들을 볼 수 있다는 것도 있는지라...
다른 서버에서 원격 include 가능하도록 설정 했을 경우 제로보드 파일들을 include 할 수 있습니다.
이런 설정은 웹호스팅 업체들의 경우라면 주의하겠지만, 개인 유저라든가 직접 서버를 돌릴 경우 그리 심각하게 생각지 않는다면 설정해서 사용할 수 있기 때문에...
2008.08.26 12:13:05 (*.146.10.83)
![[레벨:7]](./modules/point/icons/default/7.gif "포인트:4415point (76%), 레벨:7/30"){kind=icon}
Adios
제로보드는 웹 어플리캐이션입니다. 웹어플리캐이션은 웹서버 위에서 동작하는 어플리캐이션이고.. 굳이 웹서버의 설정과 그 밑의 리소스까지 책임져야 한다는건 문제가 있지 않나 싶네요.. ^^;;;
차라리 개인적으로 서버를 운영하는 사람들에게 보안관련 리포팅으로 안내해주는것이 정답이 아닐까 생각해 봤습니다.
차라리 개인적으로 서버를 운영하는 사람들에게 보안관련 리포팅으로 안내해주는것이 정답이 아닐까 생각해 봤습니다.
2008.09.04 10:05:18 (*.76.95.137)
![[레벨:14]](./modules/point/icons/default/14.gif "포인트:18825point (92%), 레벨:14/30"){kind=icon}
느까끼
제 경우 서버에서 db 접속 비밀번호를 바꾸면 ./files/config/db.config.php 내의 비밀번호가 자동으로 내용이 바뀌지 않아서
홈페이지에 접속하면 "요청하신 모듈을 찾을 수 없다"는 메시지가 나타납니다.
그리고 비밀번호가 틀려서 tools 기능도 사용할 수가 없습니다.
그래서 ./files/config/db.config.php를 수정(강제로 비밀번호 변경)하여 다시 업로드 시키면 정상적으로 페이지화면이 나타나고 tools 기능도 사용할 수 있습니다.
이것은 뭔가 기능에 이상이 있는것 아닌가요?
홈페이지에 접속하면 "요청하신 모듈을 찾을 수 없다"는 메시지가 나타납니다.
그리고 비밀번호가 틀려서 tools 기능도 사용할 수가 없습니다.
그래서 ./files/config/db.config.php를 수정(강제로 비밀번호 변경)하여 다시 업로드 시키면 정상적으로 페이지화면이 나타나고 tools 기능도 사용할 수 있습니다.
이것은 뭔가 기능에 이상이 있는것 아닌가요?
하지만 저 주소만으로는 웹 상에서 실행이 안 되기에 큰 문제는 아닌 듯 합니다.
서버 해킹이 들어온다면 문제가 되겠지만요.. ^^
(서버해킹이 되었을 경우 어차피 저 파일이 아니라도 문제가 발생되기에.. 하하!)