메인 공지사항 기능소개 매뉴얼     TEST BOARD : [1]  [2]  [3]  [4]  [5]
내용없음9
내용없음10
    고객지원
기술지원 및 상담

기능건의, 버그제보

상용 원본소스

패치,수정소스

무료 설치요청



외부 파일 include 차단 [보안패치]
  patch,reform source
패치,수정 소스
[오류패치] [기능개선] [사용환경 변화에 따른 변경소스] 등에 대한 자료입니다.
무료버전, 상용버전 공통적용 파일입니다.

작성일 2008년 9월 21일
분 류 패치
   
외부 파일 include 차단 [보안패치]

이 문제는 2008/9/25 에 패치적용 되었으므로  2008/9/25 이후에 테크노트 원본을
다운 받았다면  패치작업은 필요 하지 않습니다.



[개요]
 
* 외부파일(URL) 인클루드를 허용한 서버환경 (php.ini --> allow_url_fopen = On)
* request 파라메타 전역변수 자동생성 서버환경(php.ini --> register_globals = On)
 
위 두가지 설정이 모두 On 인 서버 환경일때 테크노트의 일부 스킨파일에 보안상 문제가 있습니다.
스킨파일 주소로 직접 접속해서 외부 url 파일을 include 할수 있게 되는 취약점입니다.




[수정해야 할 파일]
 
skin_shop/standard/3_plugin_twindow/twindow_cart.php
skin_shop/standard/3_plugin_twindow/twindow_notice.php
skin_shop/standard/3_plugin_twindow/twindow_order_cancel.php
skin_shop/standard/3_plugin_twindow/twindow_pass.php
skin_shop/standard/3_plugin_twindow/twindow_popupgoods.php
skin_shop/standard/3_plugin_twindow/twindow_search_rank.php
skin_shop/standard/3_plugin_twindow/twindow_wish.php



 
[수정할 내용]
 
위 파일을 편집기로 열고 소스의 첫줄을
 
<?  if(!IncludedConfig()) exit;   ?>
 
이렇게 해 주십시오.
스킨파일로 직접 접속하는 걸 차단합니다.
 
------------------
 
또는 이 파일을 다운 받아서
technote/skin_shop/standard/3_plugin_twindow/
폴더를 교체해 줘도 되겠습니다.

euckr__3_plugin_twindow.zip (euc-kr)
 
utf8__3_plugin_twindow.zip (utf-8)
 



 
[참고]
 
일반적인 웹호스팅 서버는 보안상   allow_url_fopen = Off 으로
설정되어 있으므로 외부 url 을 include 할수 없을 것입니다.
그러나 웹 프로그램 호환문제로 On 으로 설정 되어 있는 곳도 있을수 있으니
확인하시고 꼭 패치 하십시오.

서버설정(php.ini) 상태 확인은 <? phpinfo() ?> 하거나
테크노트 전체관리자 --> 설치정보 --> more 를 보면 확인 가능합니다.
[Ctrl + F] 키 누르고 'allow_url_fopen' 를 검색하면 On/Off 상태를 확인할 수 있습니다.
 
아울러
테크노트 스킨파일을 제작할때에도 스킨파일로 직접 접속하는 걸 차단하기 위해 소스 첫줄에 무조건
 
<?     if(!IncludedConfig()) exit;     ?>
 
를 넣는게 좋겠습니다
 

----------------------------
 
서버설정 변경방법 (서버 관리자)
 
     * php.ini 변경시 
         1. php.ini의 allow_url_fopen의 설정을 off로 변경 
            allow_url_fopen = off
         2. 설정변경 후, 웹 서버 재구동함
            apachectl restart
     * httpd.conf 변경시
         1. httpd.conf 에서 allow_url_fopen의 설정을 off로 변경
             php_admin_flag allow_url_fopen off -> Apache 설정파일에서만 설정 가능
         2. 설정변경 후, 웹 서버 재구동함
             apachectl restart
       
38 수정   쇼핑몰 : 히든검색어 필드 활용 2016-01-25
37 개선   게시판 → 확장검색 → 범위검색 → 소숫점 적용 2015-08-12
36 패치   익스플로러11 버전 호환 적용하기 2014-03-13
35 개선   도로명 주소 - 우편번호 조회 기능 업데이트 2014-01-03
34 패치   쇼핑몰 섬네일 투명색이 검은 색으로 채워지는 문제 2013-10-14
33 개선   회원포인트 수동 변경시 포인트내역에 표시 2013-01-20
32 변경   장바구니 목록의 중복상품 묶음단위 배송료 합산처리 2012-04-30
31 추가   파일 검색기능 업데이트 2011-07-25
30 패치   DB관리 '파일탐색기' 출력오류 패치 2011-06-07
29 패치   쪽지 답장 쓰기에서 제목 자동입력 안될때 2011-05-13
28 추가   쇼핑몰 : PayPal(페이팔) 결제폼 2010-07-30
27 패치   크롬, 사파리 부라우저에서 오류 메시지 출력시 문제 2010-07-03
26 패치   쇼핑몰 : 주문접수,매출 통계 2010-06-17
25 추가   쇼핑몰 : KCP 결제연동 모듈 AX-HUB 6.0 ESCROW 2010-06-01
24 추가   쇼핑몰 : 상품보관함, 오늘본상품 목록 출력하기 2010-04-22
23 버전업   포인트충전 - 올더게이트 결제모듈 AGSPay v4.0 버전업 2010-04-13
22 버전업   쇼핑몰 : 올더게이트 결제모듈 AGSPay v4.0 버전업 2010-04-12
21 개선   게시판 글쓰기폼 추가생성 부분 수정가능한 파일 2010-03-04
20 변형   쇼핑몰 상품목록 상단에 카테고리 리스트 표시하기 2010-01-12
19 패치   DB관리의 '파일탐색기' 오류 패치 2009-12-23
18 패치   쇼핑몰 카테고리(상품코너) 출력순서 패치 2009-12-19
17 수정   회원 비밀번호 찾기 - 비번힌트, 주민등록번호 제외(주민번호관련) 2009-09-25
16 개선   접속통계 기록 정리하여 출력속도 올리기 2009-07-30
15 패치   주문자 선택옵션 가격이 실시간 변경되지 않는 경우 2009-07-29
14 패치   쇼핑몰 장바구니 포켓에서 삭제 아이콘 클릭시 오류 2009-04-22
13 패치   IIS + PHP 5.2.3 + MySQL 5.0.45 서버에서 쇼핑몰 생성 실패시 2009-04-22
12 수정   회원등록시 우편번호 형식 검사과정 제거한 소스 2009-03-04
11 패치   본문펼침 출력시 php5x 서버환경에서 오류메시지 2008-11-18
10 추가   댓글에 파일첨부 기능 추가 2008-11-17
9 패치   UTF-8 인코딩버전에서 스팸차단 경고메시지 깨지는 버그수정 2008-10-31
8 개선   회원 탈퇴해도 포인트내역, 쪽지, 스크랩 보존되게 2008-10-22
7 확장   영역별 보안서버 적용 2008-09-21
6 변경   쇼핑몰 결제모듈 -> 올더게이트 -> 이지스에스크로 적용 2008-09-21
5 수정   하위 관리자의 회원레벨 수정권한 제한 2008-09-21
4 변경   쇼핑몰 결제모듈 -> 페이게이트 신용카드 할부옵션 활성화 2008-09-21
3 패치   외부 파일 include 차단 [보안패치] 2008-09-21
2 추가   외부 php 파일에서 테크노트 내부 변수를 사용코자 할때 2008-08-05
1 패치   장바구니 담기에서 에러날때 2008-04-02
1