메뉴 건너뛰기

대시보드 업데이트 allow_url_fopen 설정과 관련하여 호스팅 회사에서 보안 문제가 불가하다고

아래와 같은 답변을 받았는데요.

어떻게 하면 좋을까요?

 

 

최근 발생하고 있는 홈페이지 변조나, 피싱 사이트로의 악용은 대부분 게시판의 취약점이나, php 의 취약점에 의해 발생되고 있습니다.

이중에 가장 빈번한 것이 php 의 외부 사이트 소스 실행 기능 (allow_url_fopen)으로 악의적인 프로그램이 실행되어져서 발생이 되는 문제입니다.

 

이러한 문제로 인하여 한국정보보호진흥원에서는 allow_url_fopen 을 허용하지 않기를 권고 하고 있습니다.

 

 

allow_url_fopen 을 허용하게 되면 보안적으로 심각한 문제를 초래 할 수 있습니다.

 

해당 기능을 켜두게 되면, 원격에서 프로그램을 웹사이트에 삽입하여 실행(PHP injection),

대량으로 웹사이트를 변조 할 수 있게 되므로 어느날 갑자기, 홈페이지 화일이 통채로 지워지거나, 데이터베이스 내용이 모두 사라질수도 있습니다.

(관련 내용 URL : http://www.kisa.or.kr/notice/press_View.jsp?mode=view&p_No=8&b_No=8&d_No=3)

 

 

저희 카페24에서는 기본적으로 해당 기능이 모두 off 로 설정이 되어 있으며, 따라서 고객님께서는 가급적 allow_url_fopen 기능이외에

다른 방법으로 구현을 하시거나, 아래의 예시와 같은 function 을 만들어서 사용하시는 것을 권고합니다.

(HttpRequest, http_get, fsockopen 등의 함수로 구현이 가능합니다.)

 

(allow_url_fopen 기능이란 php 에서 include 를 사용할때 URL 방식으로 파일을 include 할수 있도록 해주는 기능입니다.)

 

보안의 위험성을 감수하더라도 반드시 allow_url_fopen 을 사용하셔야 한다면 고객센터로 문의 주시기 바랍니다.

 

 

포럼의 다른 글