본문 바로가기

RFI4

국내 공개 웹 게시판(제로보드) 취약점 주의 _______________________________________________________________________________ 원인 : 제로보드 4 게시판의 취약성을 이용한 파일 변조 증상 : 1. bbs/icon 폴더에 group_qazwsxedc.jpg 파일과 visitLog.php 생성 2. 계정내 확장자가 html, php 파일들에 frame src="악성코드 배포지 URL 삽입 (예: http://h.nexprice.com/css/x.htm) * 주로 bbs/폴더내의 파일들에 소스가 삽입됩니다. * 계정내 파일들에 iframe 삽입은 없을 수도 있습니다. 3. 제로보드 DB에 zetyx_group_table 생성되고 이 테이블의 header 또는 header_url 에 위 2번과.. 2010. 12. 22.
Remote file include in appserv 2.4.5 ====================================================================== Remote file include in appserv 2.4.5 (possible in previous versions) ====================================================================== [ What is Appserv ] AppServ is the Apache/PHP/MySQL open source software installer packages. Objective : - Easy to buid Webserver and Database Server - For those who just beginning client.. 2010. 5. 14.
안전한 PHP 프로그래밍 (첨부파일 다운 & include 함수) 1. 게시판 첨부파일 다운로드 개발시 주의점 국내 대형 IDC 운영사 사이트의 한 게시판에서 첨부파일 다운로드할 때, 내부 파일까지 다운로드할 수 있는 취약점이 있었다. 즉, /etc/ 이하의 파일이나 웹서버 설정 파일, 로그 등을 원하면 쉽게 받아볼 수 있는 취약점이었다. 이를테면 이런식이다. URL/download.html?path=/etc&file=resolv.conf&savename=resolv.txt (물론 위처럼 직접적으로 URL을 표시하지 않았지만, 눈치만 있으면 쉽게 알 수 있음) /etc/resolv.conf 를 받아서 PC에 resolv.txt 이름으로 저장하라는 예이다. '어서오세요. 저희는 개방적인 마인드로 서버의 모든 것을 네티즌에게 원하는대로 다 드립니다.'라고 얘기하는 꼴이다... 2009. 12. 8.
RFI -> RFP -> Proposal/요약본 -> 제안설명회자료 Standards, RFI, RFP, RFC, RFQ, ISO, IEC Standards (표준, 標準): ①공적으로 정해진 측정 단위의 기준. 미터, 킬로그램, 초(second), 암페어, 칸델라(candela), 켈빈(kelvin) 등의 기준이 있다. ②물질, 제품, 기기, 시스템, 서비스 등의 특성, 구성 요소, 성능, 동작, 절차, 방법, 양과 질의 계량 또는 안전성 등에 관한 기술적 사항을 규정한 규격서. 정보 처리와 통신에서는 물리적·전기적·논리적 호환성과 상호 연동성을 확보하기 위한 하드웨어 기기, 시스템, 소프트웨어 등의 표준의 개발과 작성이 특히 필요하다. 표준은 그 성격에 따라 정부 규제 기관에 의해 제정되며 법적 강제력을 갖는 규제적 표준과 강제력을 갖지 않는 권고 차원의 임의 표준으.. 2009. 3. 4.
728x90