티스토리 뷰

 

 

lighttpd와 php를 웹서버로 사용할 때 취약성 부분입니다.

웹사이트 주소를 아래와 같이 입력 했을때 phpinfo()의 내용이 출력되는데요.

 

(test.php 는 php형태를 갖추는 파일만 존재하는 상태입니다. 내용물에는 실제 코드가 없습니다.)

 

해당 취약성은 php.ini의 수정을 통해 감출 수 있습니다.

php.ini에 아래 내용을 추가하고 php를 재시작하도록 합니다.

expose_php = off

 

그리고 웹서버에 접속해보면 내용이 더이상 출력 되지 않습니다.

 

이런 사소한 부분도 CC에서는 취약성에 걸린다고 하네요~

[ expose_php = off ] 외에도 php.ini에는 많은 옵션이 존재하는데, 이번기회에 또 하나 알았습니다 ^^

댓글
댓글쓰기 폼