꽤 멋진 관계된 클라이언트 한분에게 오늘 메시지 한통을 받았습니다.
이미지로 전달되었는데요,
내용은 아래와 같습니다.
제로보드때부터, 지금의 라이믹스, XE까지 개발하는데, 이런 메시지는 처음받아봅니다.
HTML파일로 웹 페이지가 다운로드 되니 이가 보안에 문제가 된다고 메시지를 보내왔네요.
이게 가능한가요?
FTP / SSH 권한이 일체 없고, 포트자체에 접근 권한이 없는데도 가능한 내용인걸까요.
제가 너무 무지한가봅니다.
-
?
웹소스코드가 다운로드된다고 그러는것 같습니다...
-
Lv8 크롬으로는 html이랑 css 저장할수있는걸로알고있어요 아무페이지나들어가서 컨트롤s누르시면저장뜰거에요.. -
Lv30 디렉토리 리스팅 말하는거 같습니다. 이건 보안에 문제 생기는거 맞지 않나요? -
Lv30 
Lv6 해당 서버는 cafe24 웹호스팅입니다.
디렉토리 리스팅이 있을수 없고, 제차 자체적으로 확인하고 또 확인하는 부분입니다.
그걸 제외하면 있을 수 없을거 같습니다.
게다가 저기서 설명하는것은 상단의 컨트롤 S 또는 우클릭 > 다른이름으로 저장 항목이거든요. -
Lv6 웹지기님도 아시다시피 저도 운영하는 커뮤니티랑 서버가 있음에도 불구하고, 단 한번도 HTML 파일을 저장시켜서 해킹이 일어난 적은 없었습니다.
만일이라도 이런 비슷한 기법의 해킹 기법이 있다면 막아야하는것은 당연지사지만, 지금 나눈 이야기의 컨트롤 + S / 다른이름으로 저장 이라는 이 내용이 과연 해킹과 거리가 가까울까에 대해서 묻는다면 저는 주저없이 No라고 할거 같습니다.
아무 생각없이 No라고 하는만큼 Yes가 있을 수 있으니 여쭤본거지만
디렉토리 리스닝은 요즘 대부분의 호스팅이 막고 있고, 웹 서버 기본 설정등도 막고 있는 내용으로 알고 있어요. -
?
나이가 어느정도 있으신분이면 오른쪽키만 막으면 됩니다.
-
?
Lv6 아 아뇨!
원래 클라이언트분은 저와 나이가 크게 차이 나지 않는 괜찮으신 분입니다.
파트너쉽도 고민을 하고 있을정도의 멋진 회사를 운영하시는 분이라..
다만, 저 내용을 전달해주신 클라이언트 분이 나눈 대화 상대가 본인을 "웹 강사"라고 소개를 했었다고 합니다.
그래서 혹시라도 개발 부분에 문제가 있는가, 혹은 이 관련 해킹 기법이 있는가 올려본 내용이에요. -
Lv6 ?아니면 템플릿 파일 다운로드를 말하는것같은데 웹 강사 정도 되시면 템플릿이라고 딱잘라서 말하는게 정상입니다.
HTML 파일이 다운로드 된다고 보안에 취약해진다고 말을 하면 사실 웃음거리죠... -
?
Lv6 생각해보면 cgi나 제로보드때 있었던 XSS 관리자 아이디 탈취라거나.. img에 숨기는 해킹 태그들이 생각나긴 하더라구요.
그런건 아닐까 생각했는데, 사실 그 공격기법은 너무 낡았고, 일전에 embed 해킹 기법도 해보니 다 막혔더라구요.
뭔가 다른 방법이 있을까 싶은데, 사실 프론트엔드단에서 할 수 있는건 많지 않겠죠? -
?
자세한 공격 방법 알려달라고 해보세요
-
?
저걸 간추리면 공장 내부도 아닌 외부를 보여준다고 기업 비밀이 외부로 누설된다고 하는것과 마찬가지입니다.
-
Lv4 그렇게 어려운 얘기가 아닌것 같네요
잠구라는게 오른쪽 클릭 안되게 하라는 거 같다라는 데에 한표 던지고 갑니다ㅋ -
?
http://mirror.apache-kr.org/ 이와 같이 보인다는 뜻인가요
-
?
저거 설정상 안보이게 설정 하라는게 아닐까요
백앤드에서 -
?
xemania 님 의견에 저도 한표 던집니다
우클릭 방지 말씀하시는 듯해요ㅋㅋ -
어차피 우클릭 방지도 뚫릴거라 생각하는데.. 스윙브라우저의 마우스 우클릭 제한 해제 기능..★ -
Lv4 우클릭 방지는 .. 어차피 선택사항이고.. 뚫으면 누구나 가능하니.. 그것땜에 잠그라고 한거 같진않고..
디렉토리가 열려서 디렉토리를 잠궈라 뜻같은데.. 아닐까요? ㅎㅎ -
?
소스보기가 가능하게 되어 있어서 그걸을 막는 것이 좋겠다는 것으로 생각됩니다. 소스보기를 완전 차단할 수는 없지만 그래도 막아놓는 것이 좋기는 합니다.