"Down Ext : PHP"로 보안 위험 이해

끊임없이 진화하는 사이버 보안 환경에서 공격자가 사용하는 방법과 전략은 계속 정교 해지고 있습니다. 시스템 관리자와 개발자가 간과 할 수있는 미묘하지만 잠재적으로 위험한 위험 중 하나는 "Down Ext : PHP" 와 같은 검색 엔진 쿼리 사용과 관련이 있습니다. 결백하지만, 그러한 쿼리는 우연히 PHP로 작성된 악용 스크립트를 찾고있는 악의적 인 행위자에게 민감하거나 취약한 웹 응용 프로그램을 실수로 노출시킬 수 있습니다.

“Down Ext : PHP”는 무엇을 의미합니까?

보안 위험을 완전히 파악하려면 먼저 쿼리 자체의 특성을 이해해야합니다. "Down Ext : PHP" 라는 문구는 Google Dork 로 알려진 예입니다. 고급 검색 매개 변수를 사용하여 인터넷에서 특정 유형의 컨텐츠를 찾는 검색 기술입니다. 이 경우 :

• "다운" - 종종 서비스가 작동하지 않음을 나타내는 오류 메시지 나 페이지를 나타냅니다. 예를 들어, "사이트가 일시적으로 다운"또는 "데이터베이스 연결이 실패했습니다".
• "Ext : PHP" -검색 결과를 .php Extension이있는 파일로 제한하여 PHP 기반 웹 페이지를 스포트이트합니다.

이 두 요소를 결합하여 해커는이 쿼리를 사용하여 현재 오류 메시지를 표시하고 있거나 오류 메시지가 잘못 구성되거나 다운 타임을 나타내는 공개적으로 액세스 할 수있는 PHP 파일을 찾을 수 있습니다.이 중 어느 곳에서도 추가 조사 및 착취를위한 진입 지점 역할을 할 수 있습니다.

이것이 보안 위험을 초래하는 이유

언뜻보기에 공개 파일을 나열하거나 "다운"서비스를 식별하는 것은 큰 위협이되지 않을 수 있습니다. 그러나 더 깊은 영향은 그러한 쿼리가 공격 앞에 정찰을위한 도구를 만듭니다. 방법은 다음과 같습니다.

1. 오류 메시지가 너무 많이 제공됩니다 . 구성되지 않은 많은 PHP 스크립트가 잘못되면 전체 오류 메시지를 표시합니다. 이 메시지는 서버 경로, 데이터베이스 연결 문자열 또는 타사 라이브러리 버전을 공개 할 수 있습니다.
2. 취약한 엔드 포인트 : "다운"인 페이지는 종종 보안 위생에서 간과되며 여전히 부분적으로 기능적 일 수 있습니다. 관리 패널 또는 API 엔드 포인트가 방지되지 않은 경우 공격자는 기본 자격 증명을 테스트하거나 SQL 주입을 시도 할 수 있습니다.
3. 검색 엔진으로 인덱싱 : 적절한 보안 규칙이 제자리에 있지 않은 경우 ( robots.txt 파일 또는 메타 태그를 사용하여 인덱싱을 방지하는 것과 같은 경우) 잠재적으로 위험한 PHP 파일은 웹에 검색 쿼리 만 노출 될 수 있습니다.

공격자가 이러한 쿼리를 사용하는 방법

사이버 범죄의 과정은 지능 수집으로 시작됩니다. Google, Shodan 및 Censys와 같은 도구를 사용하면 단일 패킷을 피해자의 서버로 직접 보내지 않고도 대상을 쉽게 찾을 수 있습니다. 다음은 “Down Ext : PHP” 와 관련된 전형적인 정찰 작업의 해부학에 대한 내부를 살펴 봅니다.

• 1 단계 : 쿼리를 Google과 같은 검색 엔진에 입력하십시오.
• 2 단계 : 검색 결과에 나타나는 페이지를 방문하고 오류 출력, 파일 경로 또는 구식 구성 요소를 찾아보십시오.
• 3 단계 : CMS 유형 (예 : WordPress, Joomla) 또는 프레임 워크 (예 : Laravel, Codeigniter)와 같은 패턴을 식별하여 알려진 취약점과 교차 참조 할 수 있습니다.
• 4 단계 : 오프닝이 식별되면, 악성 스크립트 업로드, 권한 에스컬레이션 권한 또는 도적 데이터베이스 쿼리를 주입하는 것과 같은 타겟 공격을 시작합니다.

실제 영향

사이버 보안 분석 회사가 수행 한 최근 연구에서 수천 개의 제대로 보안 된 PHP 파일이 Dork 쿼리를 통해 노출되었습니다. 여기에는 다음이 포함됩니다.

• 기본 "관리/암호"자격 증명이있는 관리자 로그인 페이지.
• 전체 데이터베이스 액세스 세부 정보를 보여주는 구성 파일.
• 알려진 익스플로잇이있는 구식 버전의 PHP를 사용하여 더 이상 사용되지 않은 스크립트.

이러한 종류의 노출은 유명한 데이터 유출에 직접 기여합니다. 경우에 따라 사이버 공격의 초기 진입 점은 이와 같은 고급 검색 기술을 통해 발견 된 보호되지 않고 잘못 구성된 PHP 엔드 포인트로 다시 추적되었습니다.

PHP 응용 프로그램을 보호하는 방법

다행히도 개발자와 시스템 관리자가 이러한 검색 엔진 기반 발견과 관련된 위험을 완화하기 위해 취할 수있는 사전 단계가 있습니다.

1. 생산에서 오류 출력을 비활성화합니다

개발 환경에는 가시 오류 메시지가 필요하지만 프로덕션 서버는 이러한 출력을 억제해야합니다. 이것은 PHP에서 쉽게 수행 할 수 있습니다.

 ini_set('display_errors', 0); error_reporting(0);

로깅은 내부적으로 계속되어야하지만 오류는 최종 사용자에게 노출되어서는 안됩니다.

2. 액세스 제어를 위해 .htaccess 파일을 사용하십시오

Apache 서버를 신중하게 구성하면 민감한 PHP 파일에 대한 액세스를 제한 할 수 있습니다. 예:

 <Files "config.php"> Order allow,deny Deny from all </Files>

3. robots.txt로 인덱싱을 방지합니다

이것은 완벽하지는 않지만 봇이 인덱싱 디렉토리를 방지하는 것은 가시성을 줄이는 데 도움이됩니다.

 User-agent: * Disallow: /admin/ Disallow: /includes/ 4. 자신의 노출을 모니터링하십시오 User-agent: * Disallow: /admin/ Disallow: /includes/ 

사전 입장에는 공개 검색 엔진 모니터링이 포함되어있어 자신의 애플리케이션이 위험한 쿼리를 위해 자신의 응용 프로그램이 나타나는지 확인합니다. 사용하는 도메인 이름 및 확장자로 검색해보십시오.
사이트 : yourdomain.com ext : php

다음과 같은 서비스를 사용할 수도 있습니다.

• Google은 사이트 및 "Error", "PHP"또는 "Admin"과 같은 키워드를 알립니다.
• Shodan은 열린 포트와 노출 된 장치 또는 페이지를 발견했습니다.

5. 소프트웨어를 계속 업데이트하십시오

패치되지 않은 PHP, 오래된 프레임 워크 및 오래된 CMS 플러그인은 빈번한 대상입니다. 항상 최신 버전의 PHP 및 모든 관련 구성 요소를 실행하고 사용하는 도구 및 라이브러리에 대한 보안 메일 링리스트에 가입하십시오.

보안 위생에 대한 팀 교육

웹 애플리케이션 보안의 중요한 기둥 중 하나는 내부 인식입니다. 개발자는 오류 출력의 영향을 이해하고 안전한 코딩 관행에 대한 교육을 받고 최신 취약점 및 완화 전략을 지속적으로 유지해야합니다.

보안은 나중에 생각하거나 일회성 설정으로 취급해서는 안됩니다. 정기 감사 예약, 침투 테스트 수행 및 보안을 염두에두고 코드 검토 수행은 모두 탄력적 인 응용 프로그램 구축의 일부입니다.

결론

평범한 것처럼 보이지만 "Down Ext : PHP" 와 같은 검색 쿼리는 Google Dorks 및 오픈 소스 인텔리전스 수집의 복잡하고 간과되는 세계의 창으로 사용됩니다. 이러한 기술은 조직이 결코 노출시키지 않은 취약점에 대한 주목을받을 수 있습니다. 서버에 남은 테스트 스크립트와 같은 사소한 실수처럼 보이는 것은 사이버 공격의 첫 단계가 될 수 있습니다.

가시 HTTP 오류, 인덱스 스크립트 및 약한 구성 사이의 관계를 이해함으로써 웹 관리자는 방어를 강화하고 불필요한 공격 표면을 줄일 수 있습니다. 정보 정보가 검색어가되는 시대에 PHP 응용 프로그램을 보호하려면 기술적 경화 및 조직의 경계가 필요합니다.