와일드카드 ON으로 해놓으면 보안 취약점 같은게 있나요?

조회수 502회

안녕하세요.

저는 카페24에서 호스팅을 이용하고 있습니다. 그런데 서브도메인이 필요해서 .htaccess 에 아래의 코드 (커뮤니티에서 퍼옴)

<ifmodule mod_rewrite.c>
RewriteEngine On
RewriteBase /

RewriteCond %{HTTP_HOST} ^abc.kr$ [NC]
RewriteRule ^(.*)$ http://www.abc.kr/$1 [R=301,L]

#RewriteCond %{HTTP_HOST} ^www.abc.kr [NC]
#RewriteRule ^(.*)$ http://abc.kr/$1 [R=301,L]
# www 서브도메인을 이용하지 않음

RewriteCond %{HTTP_HOST} ^폴더명.abc.kr [NC]
RewriteCond $1 !^(폴더명)/
RewriteRule ^(.*)$ /폴더명/$1 [L]
# design 서브도메인은 폴더 디렉토리 연결

RewriteCond %{HTTP_HOST} ^폴더명.abc.kr [NC]
RewriteCond $1 !^(폴더명)/
RewriteRule ^(.*)$ /폴더명/$1 [L]
# m 서브도메인은 폴더 디렉토리 연결

</ifmodule>

이 코드를 짜서 이용을 하려고 하는데, 혹시라도 문제가 될까봐 카페24 측에 문의 후 하려고 하였습니다.

아래가 답변 내용입니다.

안녕하세요. 카페24 호스팅센터입니다.

고객님이 구문을 추가를하셔서 도메인으로 접속시 특정폴더로 접속되도록 하시는 부분은 별도의 청구비용이나 서비스제한은되지않습니다.

다만 서버의 부하 및 다른사용자계정에 영향을주게될경우 서비스제한이될수있으며 서버의 부하 및 다른사용자계정에 영향을주지않을경우 구문을 추가를하셔서 특정폴더로 접속되도록 구현하는부분은 가능합니다.

다만 고객님이 사용중이신 서버환경이 php7.3으로 확인되며 해당 버전 모듈이 고객님이 적용하신 rewrite 처리되는 문제가있어 301 redirect 적용시 루프 빠지는 문제가 있는 상태입니다.

301 Redirect 적용해 작업하셔야한다면 php버전을 7.0으로 환경을 변경 후 이용검토가 필요해보입니다.

php7.3에서 사용을하셔야한다면 아래의 예제구문을 참고를하셔서 구현을해보시기 바랍니다. 아래의 예제구문은 http로 접속시 https로 리다이렉트시키는 부분인점 이용의 참고부탁드립니다. -예제소스-

RewriteEngine on

RewriteCond %{HTTP_HOST} ^www.(.*)$ [NC]

RewriteRule ^(.*)$ http://%1%{REQUEST_URI} [R=302,QSA,NC,L]

* 또한 서브도메인을 특정폴더로 연결을하시기위해서는 서브도메인이 호스팅에 연결이 된상태에서 가능하며 서브도메인을 여러개 생성후 사용을하실려고한다면 와일드카드설정을 ON으로 변경을하셔야하며 최근 와일드카드 도메인을 이용한 피싱메일 및 피싱사이트가 증가하는 추세에 있습니다. 이에 따라, 카페24 호스팅 서비스에서는 기본적으로 고객이 연결한 도메인 및 www.도메인 에 대해서만 허용해 드리고 있습니다. 와일드카드 접근을 허용해 드릴 수 있으나 안전을 위해 반드시 필요한 지 다시 한번 검토해 주시기 바랍니다. 와일드카드 접근 허용 후 홈페이지의 취약점 또는 FTP 계정 노출로 인하여 피싱사이트로 악용된 경우 향후 와일드카드 지원이 불가능할 수 있습니다.**

위 내용 확인 후에도 와일드카드 설정이 필요한 경우 1:1문의 게시판에 아래 내용으로 접수 부탁드립니다.

[와일드카드 허용 요청]

" 와일드카드 주의사항을 모두 확인하였으며 모든 내용에 동의합니다. "

다른 문의가 있으시면 언제든지 게시판으로 문의주시기 바랍니다. 성심성의껏 안내해 드리겠습니다.

감사합니다.

보니까 와일드카드 취약점이 있어서 고려해 보라고 하는 것 같은데,
무슨 취약점이 있고 털리면 어떻게 털리고 방어는 어떻게 해야할지 설명좀 해주실 수 있을까요...?

감사합니다 :)

1 답변

  • 간단한 얘기죠. 질문자님의 서버 디렉토리 구성이 이렇게 돼있다고 해볼께요.

    /var/www/질문자
                  /public --> 여기가 abc.co.kr 사이트
                  /design --> 여기가 design.abc.co.kr 사이트
                  /design-test --> 여기는 design.abc.co.kr 의 테스트 사이트
    

    그리고 이때 와일드카드를 적용해 버리면 누구나 design-test.abc.co.kr 에 아무런 방해 없이 접속해볼 수 있게 되죠.

    design-test라서 망정이지 예를 들어서 질문자님 작성하신 소스가 라라벨로 되어 있다거나 하면 /var/www/질문자/app 디렉토리가 있을 테니, app.abc.co.kr에 접속하는 것도 가능해집니다. 그리고 정말 재수가 없으면 그 접속 결과는 웹디렉토리 화면이 될 겁니다. 사이트 소스를 그대로 내려받을 수 있는.

    딱 두 개 서브도메인만 필요한 거라면 딱 두 개만 설정해서 쓰시길 권장합니다.

답변을 하려면 로그인이 필요합니다.

프로그래머스 커뮤니티는 개발자들을 위한 Q&A 서비스입니다. 로그인해야 답변을 작성하실 수 있습니다.

(ಠ_ಠ)
(ಠ‿ಠ)