My Advanced Linux/Advanced Linux 2009. 7. 24. 10:14
apache 모듈중 mod_mime 란 모듈에 취약점이 아주 예전에 발견되었다고 한다.
mod_mime는 apache에 내장된(주로 많이 쓰이는) 확장자를 어떠한 이름이든 그 확장자로 인식을 하게 하는 것이다.
쉽게 말해서 .php 같은경우에 .php.uzoogom 이란 파일을 .uzoogom이란 파일의 확장자로 인식하는게 아니라 .php라는 확장자로 인식하여 php로 처리한다. 참 편리한 기능이다.
근데 문제가 되는 것이 무엇이냐면, 기본적으로 xxx.php라는 악성코드 php파일을 만들어서 게시판에 올려서 절대경로로 그 파일을 php로 실행시켜 apache 실행권한을 취득할 수 도 있다는 것... (잼있겠는데)
여튼 이러한 문제점을 미연에 방지하고자 하는 것이 오늘의 목표이다.
가장 쉽게 apache 설정에서 .php만 php로 인식하게 하는 것이다.
httpd.conf파일에 아래와 같이 설정해준다.
아래부분은 주석처리
# AddType application/x-httpd-php .php .php3 .inc .htm .html
# AddType application/x-httpd-php-source .phps
요 부분을 입력
# CGI부분도 해주면 좋다~
<FilesMatch "\.cgi$">
SetHandler cgi-script
</FilesMatch>
# php 이외에 php3, inc, html, htm 파일도 php 처럼 처리하자
<FilesMatch "\.(php|php3|inc|htm|html)$">
SetHandler application/x-httpd-php
</FilesMatch>
<FilesMatch "\.phps$">
SetHandler application/x-httpd-php-source
</FilesMatch>
끝. 참 쉽죠잉.
mod_mime는 apache에 내장된(주로 많이 쓰이는) 확장자를 어떠한 이름이든 그 확장자로 인식을 하게 하는 것이다.
쉽게 말해서 .php 같은경우에 .php.uzoogom 이란 파일을 .uzoogom이란 파일의 확장자로 인식하는게 아니라 .php라는 확장자로 인식하여 php로 처리한다. 참 편리한 기능이다.
근데 문제가 되는 것이 무엇이냐면, 기본적으로 xxx.php라는 악성코드 php파일을 만들어서 게시판에 올려서 절대경로로 그 파일을 php로 실행시켜 apache 실행권한을 취득할 수 도 있다는 것... (잼있겠는데)
여튼 이러한 문제점을 미연에 방지하고자 하는 것이 오늘의 목표이다.
가장 쉽게 apache 설정에서 .php만 php로 인식하게 하는 것이다.
httpd.conf파일에 아래와 같이 설정해준다.
아래부분은 주석처리
# AddType application/x-httpd-php .php .php3 .inc .htm .html
# AddType application/x-httpd-php-source .phps
요 부분을 입력
# CGI부분도 해주면 좋다~
<FilesMatch "\.cgi$">
SetHandler cgi-script
</FilesMatch>
# php 이외에 php3, inc, html, htm 파일도 php 처럼 처리하자
<FilesMatch "\.(php|php3|inc|htm|html)$">
SetHandler application/x-httpd-php
</FilesMatch>
<FilesMatch "\.phps$">
SetHandler application/x-httpd-php-source
</FilesMatch>
끝. 참 쉽죠잉.
