ue에서 false로 수정하면 디렉토리 리스팅을 막을 수 있다.
5. 파일 다운로드(Directory Traversal, 파일 탐색) 취약점
디렉토리 탐색 취약점(파일 다운로드 취약점)은 자료실에 올라간 파일이나 웹에서 파일을 다룰 때 파일 명을 적절하게 체크하지 않아 공격자가 ../와 같은 파일명 앞에 상위 디렉토리로 올라가는 문자를 입력해 ../../../../../../etc/passwd와 같이 시스템의 중요한 파일을 다운로드할 수 있는 취약점이다. 보통 파일을 다운받을 때 전용 다운로드 프로그램을 이용해 다음과 같이 입력한다. http://www.domain.com/bbs/download.jsp·filename=테스트.doc 그러나 여기서 테스트.doc 대신 다음과 같이 시도하면 etc/passwd 파일을 다운로드할 수 있다.
http://www.domain.com/bbs/download.jsp·filename=../../../../../../../etc/passwd
이를 막기 위해서는 파일을 다운받는 전용 프로그램(이 사례라면 download.jsp)에서 파일명에 대한 필터링을 수행해 파일명에 .. 또는 /와 같은 문자열을 입력하지 못하도록 설정해야 한다. 파일명을 DB에 저장한 후 index를 이용해 불러오게 하는 방법도 있으며, 웹 서버 설정파일에서 웹 홈 디렉토리 이외의 파일은 접근하지 못하도록 설정하는 것도 좋다.
6. 소스코드 인젝션 취약점
PHP의 특징인 외부 페이지 참조 기능이 활성화되어 있는 경우 외부 웹 서버에 저장된 PHP 소스코드가 특정 파일에 의해 읽혀지는 취약점이다. 이 취약점을 이용하면 원격에서 소스코드 인젝션을 통해 시스템 내부 명령어를 실행할 수 있다.
http://www.target.com/test/test.cgi·dir=http://www.attacker.com/cgi-bin/
이를 막기 위해서는 php.ini 파일에서 allow_url_fopen = On이라고 되어 있는 부분을 allow_url_fopen = Off로 설정하면 된다. 또한 파일 다운로드 취약점과 마찬가지로 사용자로부터 값을 넘겨받을 때 입력받는 값에 대한 필터링을 하는 방법도 있다.
Ⅶ. 결론
사이버공간은 인간의 생활 범주를 확장시키고 거리와 시간의 물리적 제약을 축소시키는 커뮤니케이션의 경험장으로 사용되어지고 있으며 사람들이 자신의 의견, 주장, 또는 이데올로기를 좀더 편리하고 효율적으로 전파할 수 있는 새로운 영역으로 자리매김하고 있다. 이와 같은 전대미문의 현상과 함께 사람들은 사이버공간에서 악의적 해킹에 의한 새로운 도전에 직면하게 된다. 즉, 해커들에 의해서 행해지는 웹 훼손 (web defacement), 컴퓨터바이러스, 이메일폭탄 (e-mail bombs) 등은 국내외적으로 뜨거운 이슈가 되었고 해킹으로 인한 인터넷 정보 인프라의 붕괴는 국가안전과 사법체계를 약화시키고 사회구성체를 위협하는 반사회적 행위로 인식하게 되었다. 해커는 자신이 행한 해킹행위에 대해서 다양한 동기와 성향을 가지고 있다. 그러므로 해커를 단순히 컴퓨터 범죄자 혹은 컴퓨터 천재라는 미디어에 묘사된 이미지로 파악한다면 많은 오류를 범할 수 있을 것이다.
참고문헌
강길범 외 - 최신 정보통신개론, 한올출판사, 2001
류승우 - 해커 4U의 해킹보안노트, 사이버 출판사, 2003
백광훈 - 해킹범죄와 그 처벌법규 및 문제점, 2000
심재무 - 컴퓨터 해킹과 형법, 경성대학교 법학연구소, 19997
원혜욱 - 인터넷 범죄의 특징과 범죄유형별 처벌조항, 형사정책연구, 제11권제2호
임채호 - 중요정보통신망 해킹 시 침입자 기법분석과 대응, 한국정보보호센터, 1999