RSS구독하기:SUBSCRIBE TO RSS FEED
즐겨찾기추가:ADD FAVORITE
글쓰기:POST
관리자:ADMINISTRATOR
apache 모듈중 mod_mime 란 모듈에 취약점이 아주 예전에 발견되었다고 한다.

mod_mime는 apache에 내장된(주로 많이 쓰이는) 확장자를 어떠한 이름이든 그 확장자로 인식을 하게 하는 것이다.
쉽게 말해서 .php 같은경우에 .php.uzoogom 이란 파일을 .uzoogom이란 파일의 확장자로 인식하는게 아니라 .php라는 확장자로 인식하여 php로 처리한다. 참 편리한 기능이다.
근데 문제가 되는 것이 무엇이냐면, 기본적으로 xxx.php라는 악성코드 php파일을 만들어서 게시판에 올려서 절대경로로 그 파일을 php로 실행시켜 apache 실행권한을 취득할 수 도 있다는 것... (잼있겠는데)

여튼 이러한 문제점을 미연에 방지하고자 하는 것이 오늘의 목표이다.
가장 쉽게 apache 설정에서 .php만 php로 인식하게 하는 것이다.

httpd.conf파일에 아래와 같이 설정해준다.

아래부분은 주석처리

# AddType application/x-httpd-php .php .php3 .inc .htm .html
# AddType application/x-httpd-php-source .phps

요 부분을 입력
# CGI부분도 해주면 좋다~

<FilesMatch "\.cgi$">
    SetHandler cgi-script
</FilesMatch>

# php 이외에 php3, inc, html, htm 파일도 php 처럼 처리하자
<FilesMatch "\.(php|php3|inc|htm|html)$">
    SetHandler application/x-httpd-php
</FilesMatch>

<FilesMatch "\.phps$">
    SetHandler application/x-httpd-php-source
</FilesMatch>

끝. 참 쉽죠잉.
Trackback
Reply
우주곰:지구곰이 아닙니다.
지구곰이 아닙니다.
Categories (190)
Information (5)
About uzoogom (5)
My Advanced Linux (73)
Learning Linux (96)
OperatingSystem (5)
Databases (4)
OpenSource (1)
Tips! (1)
«   2024/03   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31