- 11
- humit
- 조회 수 299
현재 업데이트가 더이상 되고 있지 않는 제로보드의 위험성에 대해서 찍은 영상입니다. 제가 만든 사이트에서 해킹 시연을 하였습니다.
자막으로 해당하는 설명을 간략하게 달아놓았습니다.
서버 세팅
00:08 제로보드4 설치
01:00 제로보드 그룹 추가
01:20 게시판 생성
02:30 게시글 작성
해킹 시연
04:26 해킹 시연 시작
05:03 취약점 체크
05:12 전체 게시판 id 가져오기
05:55 관리자 계정 정보 가져오기
07:55 관리자 권한 획득하기
08:23 웹쉘 업로드
08:29 DB 정보 가져오기
09:28 웹쉘 커맨드 실행
참고로 제로보드 뿐만이 아니라 XE나 그누보드와 같은 경우에도 최신 버전으로 업데이트를 하지 않으면 이런 식으로 해킹을 당할 수 있습니다. 보통 패치가 된 코드가 올라오기 때문에 고쳐진 부분에서 취약점이 있는 것을 알고 그 부분으로 공격을 할 수 있기 때문입니다.
소스코드가 전부 공개가 되어 있기 때문에 패치가 되지 않은 새로운 취약점을 좀 더 쉽게 발견할 수도 있습니다. 비유하자면 도둑이 특정한 금고를 털려고 할 때 해당 건물의 보안 시스템에 대한 정보를 가지고 있는 것과 가지고 있지 않는 것의 차이라고 보시면 될 것 같습니다.
특히 웹쉘이 업로드가 된 이후에는 그 사이트는 완전히 해커의 것이 되었다고 생각하셔도 됩니다. (새 서버에서는 모르겠지만 여기의 구서버의 경우에는 Suhosin 모듈이 있어서 웹쉘이 실행되지는 않습니다.)
작성자
댓글 11
2016.12.31. 18:18
그래도 안전하게 코딩을 할 자신이 없다면 켜 놓는 것이 좋을 것 같아요... 서버가 한 번 뚫리면 그 서버를 이용해서 해킹을 하는 경우도 있으니까요....
2016.12.31. 23:01
그나저나 동영상은 탈탈 털리네요.
2016.12.31. 23:33
물론 직접 취약한 부분의 소스코드를 고친다면 괜찮겠지만 그냥 사이트에 올라와 있는 파일을 쓰면 저렇게 많이 털릴 수 있습니다 ㅎㅎ... 이 밖에도 다른 취약점도 많습니다.... XSS라던가...
2016.12.31. 23:50
과거 뽐뿌같은 대형사이트가 제로보드 구형을 쓰는걸보고 걱정했는데 역시나 털리더라구요 ㅋㅋ 워드프레스쪽은 보안은 어떤가요?
2016.12.31. 22:07
워드프레스는 항상 업데이트를 제공하기 때문에 쉽게 뚫리지는 않죠.
2016.12.31. 22:35
워드프레스는 자동업데이트인가요? 아니면 xe처럼 좀 번거로운 과정을 거쳐서 업데이트인가요?
2016.12.31. 23:29
워드프레스는 자동 업데이트입니다.
2016.12.31. 23:42
와 기왕 배우는김에 워드프레스를 배우는게 났겠는데요;;
2017.01.01. 00:09
업데이트만 꾸준히 해주신다면 보안 문제는 생각하지 않으셔도 괜찮습니다.
2016.12.31. 23:01
감사합니다 좋은정보를 얻고가네요
2016.12.31. 23:29
권한이 없습니다.
안정성은 확 높여주지만 속도도 확 떨어뜨려주거든요.