문득 든 생각입니다만... 정보
문득 든 생각입니다만...
본문
그누보드는 스킨도 모두 네이티브한 PHP이고, 플러그인도 마찬가지로 템플릿 언어가 아닌 PHP인데 말이죠.
악의적인 개발자가, 그누보드 설정정보 파일을 읽어다가 또는 설정이 담긴 변수를 읽어다가 curl 등으로 자기네 서버로 해당 정보를 보내는 스킨이나 플러그인을 만들어 배포한다면... 해당 사이트의 디비가 다 털려져버리는건데.
그건 순전 사용자가 스킨이나 플러그인을 골라서 사용할 때 조심해야 하는 걸까요?
아무리 생각해보다도 코어단(그누보드단)에서 해당방법을 막을 수 있는 방법이 생각나지 않네요.
해당방법은 생각보다 매우간단합니다. 잘나가는 플러그인이나 스킨에다가 php코드 몇줄만 끄적여 다시 올려두면 되는거니까요.
추천
0
0
댓글 5개
가져갈 내용이 많을 정도라면, 전담 개발자가 있지 않을까 싶구요
요즘 호스팅에서 MRTG 도 거의 다 지원하고, 언제가는 걸리기 때문에,
법적으로 골치 아파져서 그런 짓은 못할겁니다.
원도우 응용만 있를때에는 컴파일하면 모르기 때문에,
작정하면 할 수 있었지만, 그런 사례는 들어본적이 없었어요.
요즘 호스팅에서 MRTG 도 거의 다 지원하고, 언제가는 걸리기 때문에,
법적으로 골치 아파져서 그런 짓은 못할겁니다.
원도우 응용만 있를때에는 컴파일하면 모르기 때문에,
작정하면 할 수 있었지만, 그런 사례는 들어본적이 없었어요.
음 플러그인이 실행될 때 딱한번 디비접속정보만 가져가는거라면 MRTG에선 걸리지 않을 것 같아요. 기껏해야 문자 몇자이기 때문에...
curl로 하지않고 자바스크립트나 히든프레임으로 처리해버리면, 유저의 브라우져에서 보내버리는거니깐... 절대 걸리지 않을 것 같고...
일단 플러그인이나 스킨같은거 잘 골라쓰고, 나중에 문제 생기면 법대로~! 가 아니라 CMS개발단계에서 그걸 막을만한 아이디어가 있을까 아무리 생각해봐도 생각이 나지 않더라구요. ㅠ _ㅠ
curl로 하지않고 자바스크립트나 히든프레임으로 처리해버리면, 유저의 브라우져에서 보내버리는거니깐... 절대 걸리지 않을 것 같고...
일단 플러그인이나 스킨같은거 잘 골라쓰고, 나중에 문제 생기면 법대로~! 가 아니라 CMS개발단계에서 그걸 막을만한 아이디어가 있을까 아무리 생각해봐도 생각이 나지 않더라구요. ㅠ _ㅠ
웹 호스팅의 경우 ssh 와 계정 정보을 틀리게 하는 경우가 많은것으로 알고 있고,
ssh 접속 못하면 DB 접근 못하니.....DB 계정 알아도.....
스크립트는 요즘도 사이트 통해서 광고 심어 놓으려고 시도하는 외국인들이 있를뿐, 딱히 못 봤어요.
있다 하더라도 요즘 사람들 수준이 높아져서...
서버 호스팅이라면 경유지로 사용하려고 하겠지만, 결재 연동처럼 ssh 계정 정보 입력하는란도 없고
서버 호스팅 받을 정도면 프리랜서라도 있어서 다른 개발자에게 걸리면....ㅎㄷㄷ
웹호스팅은 서버쪽에 데몬 돌릴수 있는 환경을 지원 않하니, 원하시는 부분에 대해서는 답이 없을것 같아요...
ssh 접속 못하면 DB 접근 못하니.....DB 계정 알아도.....
스크립트는 요즘도 사이트 통해서 광고 심어 놓으려고 시도하는 외국인들이 있를뿐, 딱히 못 봤어요.
있다 하더라도 요즘 사람들 수준이 높아져서...
서버 호스팅이라면 경유지로 사용하려고 하겠지만, 결재 연동처럼 ssh 계정 정보 입력하는란도 없고
서버 호스팅 받을 정도면 프리랜서라도 있어서 다른 개발자에게 걸리면....ㅎㄷㄷ
웹호스팅은 서버쪽에 데몬 돌릴수 있는 환경을 지원 않하니, 원하시는 부분에 대해서는 답이 없을것 같아요...
충분히 가능하지만 그 전에 제재당할 것 같은데요..
예전에 유튜브 업로드 게시판 스킨이 그랫던 것으로 알고 있습니다. 해킹코드를 zend 인코딩해서 올린 것이죠.
어떤 사람이 메일로그가 쌓여서 봤더니 해킹스킨이 계정정보를 보내고 있었다고 하더군요.
어떤 사람이 메일로그가 쌓여서 봤더니 해킹스킨이 계정정보를 보내고 있었다고 하더군요.
