fckeditor 사용하면서 보안상 이슈가 있어서 수정.

절대경로를 상태경로로 변경해야 방화벽 룰셋을 통과하는 부분에 대한 링크
http://dev.fckeditor.net/ticket/2875
http://www.geeklog.net/forum/viewtopic.php?showtopic=86782

mod_security 의 htaccess Tip
- 회사서버에는 적용되지 않는 상태
http://www.askapache.com/htaccess/mod_security-htaccess-tricks.html#menu0-el9

구글링
http://www.google.co.kr/search?hl=ko&newwindow=1&q=fckeditor+file+browser+modsecurity+error&aq=f&aqi=&aql=&oq=&gs_rfai=


mod_security 룰셋 추가설정
KISA에서 받은 룰셋중 fckeditor 를 사용하면서 오류가 나는 부분이 있어서 아래와 같이 수정

# dir|page 가 들어가 있으면서 https가 요청되는 경우가 fckeditor 에서 발생하기 때문에 수정
SecRule REQUEST_URI "(dir|page|)" chain
#SecRule REQUEST_URI "=(http|https|ftp)\:/"
SecRule REQUEST_URI "=(https|ftp)\:/"
SecRule REQUEST_URI "shell_exec\(" "msg:'PHP Injection Attacks'"

'개발도 하냐?' 카테고리의 다른 글

디자이너에게 배우다.  (1) 2010.07.07
PHP 코딩 규약 - PEAR  (0) 2010.06.25
mod_security AND fckeditor  (0) 2010.06.21
Prototype URL encode, decode  (0) 2010.06.19
정규표현식(regular expressions)  (0) 2010.06.16
HTTP 응답코드  (0) 2010.06.13

+ Recent posts