AddType application에 관하여 ..

안녕하십니까? 씨디네트웍스 홍석범입니다.

말씀하신 내용은 최근 많이 보이고 있는 현상입니다. 이를 통해 웹쉘을 업로드하기도 하고 스팸발송 프로그램을 업로드하여 실행하기도 하는등의 모습을 보이고 있습니다.

이에 대해서는 궁극적으로 웹응용프로그램의  취약성을 제고하여야 하지만 현실적으로 어려움이 있어 .htaccess의 사용을 제한 또는 disable하는 것이 가장 효과적입니다. 일단 AllowOverride None을 설정하여 .htaccess 사용을 제한하시고 꼭 사용하여야 할 디렉토리에만 제한적으로 허용해 주셔야 할 것 같습니다.

또는 반대로 아래와 같이 upload되는 디렉토리에 설정하실 수도 있습니다.

(Directory  "/home*/*/public_html/bbs/board/*/upload")
  AllowOverride None
(/Directory)

감사합니다.

최성민 님의 글

홈페이지 업로드 폴더중에서 php 파일을 사용 못하게 만들었더니

.htaccess 파일을 올리고 AddType application/x-httpd-php 구문에 .txt를 추가하여

텍스트 파일을 실행할수 있도록 한 웹쉘및 악의적인 php 코드를 실행하네요

그렇다고 AddType application 기능을 막아놓을수도 없고 AddType application 올릴 파일중 제가 허

용한 파일들 (.php .html .inc 등등)만 실행되게 해 놓을수 없을까요 ?

아니면 특정 디렉토리는 php등의 동작을 차단하게 만들든지요

책이나 자료를 찾아봐도 안나와서 ㅡㅡ;;;

아니면 다르게 막을 방법이 없나요 ??? 답변 좀 주세요 ㅠㅠ

httpd.conf 파일에서 php를 허용한 도메인이나 디렉토리를 설정할 수 있느것은

알고 있지만 100여개의 가상도메인이 있어서 설정하기가 무척 힘듭니다.

-------------------------------------------------------------------------------------------