티스토리 뷰
개발/PHP
[php] https://192.168.0.10/test.php/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
Jaeyeon Baek 2013. 12. 9. 15:47
lighttpd와 php를 웹서버로 사용할 때 취약성 부분입니다.
웹사이트 주소를 아래와 같이 입력 했을때 phpinfo()의 내용이 출력되는데요.
(test.php 는 php형태를 갖추는 파일만 존재하는 상태입니다. 내용물에는 실제 코드가 없습니다.)
해당 취약성은 php.ini의 수정을 통해 감출 수 있습니다.
php.ini에 아래 내용을 추가하고 php를 재시작하도록 합니다.
expose_php = off
그리고 웹서버에 접속해보면 내용이 더이상 출력 되지 않습니다.
이런 사소한 부분도 CC에서는 취약성에 걸린다고 하네요~
[ expose_php = off ] 외에도 php.ini에는 많은 옵션이 존재하는데, 이번기회에 또 하나 알았습니다 ^^
'개발 > PHP' 카테고리의 다른 글
| [php] mail() 함수 사용시에 body에 !(느낌표)가 중간중간 삽입되는 경우 (0) | 2014.01.02 |
|---|---|
| [php] getopt() (0) | 2013.12.26 |
| [php] readdir() - 디렉토리 내 파일 추출 (0) | 2013.08.14 |
| [php] array_splice (0) | 2012.10.26 |
| [php] xml parser의 종류 (0) | 2012.10.24 |
댓글
최근에 올라온 글
최근에 달린 댓글
글 보관함
- Total
- Today
- Yesterday