아이비로 호스팅의 특정 페이지 forbidden 에러 현상의 양상을 알아내었네요. 블록

어제 우리 아파트 홈페이지 게시판 페이지뷰에서 썸네일 이미지를 클릭하면 img_view2.php 를 호출하면서 전체크기의 원래 이미지 팝업이 뜨게 돼 있는데 이게 forbidden 에러가 떠서 봤더니

제가 그 /bbs/img_view2.php 파일로 좀 테스트를 해봤는데요

http://aptgate.ivyro.net/bbs/img_view2.php?img=/images/sss/DSC_5052.JPG&width=1610&height=1123

를 보시면 아시겠지만 img 인자를 전달할 때 / 루트디렉토리로 시작하는 절대 경대경로로 인자를 전달해 주면 해당 이미지가 보이지만 다음 2개 링크 같이 상대경로나 url 까지 적어준 경로를 인자로 전달하게 되면 퍼미션 에러가 뜹니다.

http://aptgate.ivyro.net/bbs/img_view2.php?img=../images/sss/DSC_5052.JPG&width=1610&height=1123

http://aptgate.ivyro.net/bbs/img_view2.php?img=http://aptgate.ivyro.net/images/sss/DSC_5052.JPG&width=1610&height=1123

지난 포스트에서 말씀드린 게시판 페이지뷰에서 호출되는 /bbs/delete.php 파일이나 /bbs/bitly.php 파일도 경로를 인자로 전달하기 때문에 동일한 현상으로 발생하는 문제인듯 보입니다.

이게 보안상 어떤 의미가 있는지 지난 포스트 덧글에서 보안 운운하신 분 설명 좀 해주세요.

덧글

  • ㅁㄴㅇㄹ 2015/12/20 10:08 # 삭제 답글

    역시 노답.

    10년전에 당신처럼 해서 뭔 일이 일어났는지 기억도 못하네.


    "해커그룹은 동일한 취약점을 악용하여 유사한 방식으로 다량의 웹사이트를 변조시킨 것으로 분석됐다. 해커그룹은 피해를 입은 가상 웹사이트들이 웹사이트 보안을 위한 필수 설정사항인 웹 주소를 통한 파일열기 금지설정(allow_url_fopen = Off)을 하지 않았음을 파악하고 원격에서 프로그램을 웹사이트에 삽입해 실행(PHP injection), 대량으로 웹사이트를 변조했다."
  • 희망의빛™ 2015/12/20 10:31 # 답글

    ㅁㄴㅇㄹ// 근데 문제는 자기자신의 웹서버 url을 붙여 인자로 전달했는데도 그걸 다른 호스트 url과 구분하지 못한다는 것이고 상대 경로는 또 뭐하러 막아놨습니까? 상대경로와 절대경로의 보안상 차이점이 무엇인지 궁금하군요. ㅡ_ㅡ
  • 해색주 2015/12/20 13:20 #

    궁금하면 검색을 하던가 공부를 하세요. 괜히 엄한 사람들 시간 뺏지 마시구요.
  • 래칫 2015/12/20 13:47 # 답글

    알려드렸습니다 ^^
  • 다채로운 사냥꾼 2015/12/20 17:30 # 답글

    식사하고 작업하시라고 피자 배달시켜드렸습니다 ^^
  • 처음댓글달아봄 2015/12/20 17:43 # 삭제 답글

    6개월 경력의 신입 개발자입니다. 같은 직장에서 만났으면 얼마나 빡쳤을까 상상만해도 소름돋네요. 근데 이분 직업이 뭐죠?
  • shaind 2015/12/20 18:36 #

    회사에서는 뭔일 하는지는 모르겠고, 컴퓨터 관련해서는 개발자란 건 자칭이고, 그냥 스크립트 키드 & 동팔이 입니다.
  • PFN 2015/12/20 21:01 #

    직업 없어요. 동네 컴퓨터 고치는 알바같은거 함.
    회사란것도 정식 고용인지 의심스럽고
  • 하얀고양이 2015/12/20 21:41 # 삭제

    알바가 아닌 자영업인듯.

    그걸받은 고객 컴퓨터의 운명은....
  • 절망의빛 2015/12/22 15:45 # 삭제

    그냥 취미생활임.. 악취미
  • 희망의빛™ 2015/12/27 09:21 # 답글

    이 현상은 아이비로 호스팅의 웹방화벽 설정 때문에 그런 것이며 이것을 우회해 페이지를 동작시키기는 방법은 다음 페이지를 참고 바랍니다.

    http://blrun.egloos.com/11197388
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.


웹로그 검색