[개요]
* 외부파일(URL) 인클루드를 허용한 서버환경 (php.ini --> allow_url_fopen = On)
* request 파라메타 전역변수 자동생성 서버환경(php.ini --> register_globals = On)
위 두가지 설정이 모두 On 인 서버 환경일때 테크노트의 일부 스킨파일에 보안상 문제가 있습니다.
스 킨파일 주소로 직접 접속해서 외부 url 파일을 include 할수 있게 되는 취약점입니다.
[수정해야 할 파일]
skin_shop/standard/3_plugin_twindow/twindow_cart.php
skin_shop/standard/3_plugin_twindow/twindow_notice.php
skin_shop/standard/3_plugin_twindow/twindow_order_cancel.php
skin_shop/standard/3_plugin_twindow/twindow_pass.php
skin_shop/standard/3_plugin_twindow/twindow_popupgoods.php
skin_shop/standard/3_plugin_twindow/twindow_search_rank.php
skin_shop/standard/3_plugin_twindow/twindow_wish.php
[수정할 내용]
위 파일을 편집기로 열고 소스의 첫줄을
<? if(!IncludedConfig()) exit; ?>
이렇게 해 주십시오.
스킨파일로 직접 접속하는 걸 차단합니다.
'Linux > Tip&Tech' 카테고리의 다른 글
| bonnie++를 통한 시스템 벤치마킹(BMT Tool) (0) | 2010.09.02 |
|---|---|
| 8T 이상 데이터 사용 (0) | 2010.07.29 |
| 2008/9/25 설치버전 - TechNote 외부 파일 include 차단 [보안패치] (0) | 2010.06.17 |
| Linux Daemon 설명 (0) | 2010.03.04 |
| 제로보드4 한글 파일 첨부 문제 (0) | 2009.06.26 |
| VirtualBox Kernel Driver Not Installed (0) | 2009.06.23 |
댓글을 달아 주세요