웹프로그램6 안전한 PHP 프로그래밍 (첨부파일 다운 & include 함수) 1. 게시판 첨부파일 다운로드 개발시 주의점 국내 대형 IDC 운영사 사이트의 한 게시판에서 첨부파일 다운로드할 때, 내부 파일까지 다운로드할 수 있는 취약점이 있었다. 즉, /etc/ 이하의 파일이나 웹서버 설정 파일, 로그 등을 원하면 쉽게 받아볼 수 있는 취약점이었다. 이를테면 이런식이다. URL/download.html?path=/etc&file=resolv.conf&savename=resolv.txt (물론 위처럼 직접적으로 URL을 표시하지 않았지만, 눈치만 있으면 쉽게 알 수 있음) /etc/resolv.conf 를 받아서 PC에 resolv.txt 이름으로 저장하라는 예이다. '어서오세요. 저희는 개방적인 마인드로 서버의 모든 것을 네티즌에게 원하는대로 다 드립니다.'라고 얘기하는 꼴이다... 2009. 12. 8. 웹 어플리케이션 보안 취약점 테스트 WebScarab Developed by the Open Web Application Security Project (OWASP), WebScarab is first and foremost a proxy used to analyze browser requests and server replies. In addition to serving as a tool for packet analysis, you can use it to "fuzz" sites, looking for some of the same exploits mentioned above. To use WebScarab, you first configure proxy settings in your Web browser. For Mozilla Fire.. 2009. 10. 30. 웹분석에 유용한 프락시(Proxy) 툴 - Paros : http://www.parosproxy.org - burpsuite : http://www.portswigger.net/suite - WebScarab : http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project 2009. 10. 23. 웹쉘 탐지 프로그램(Whistl) 보급 안내 웹쉘 문의가 많아서 웹쉘 탐지 프로그램으로 Whistl을 추천해 드립니다. 인터넷침해사고대응지원센터에서 제공되며 아래 내용을 참고하셔서 신청하시면 됩니다. 최근 공격자들이 국내 웹 서버를 해킹하여 웹쉘을 업로드한 후 악성코드 유포 및 개인정보 탈취 사례가 지속적으로 발생하고 있습니다. 이에, 한국인터넷진흥원에서는 공격자에 의해 생성된 웹쉘을 손쉽게 탐지하고 대응하기 위하여 "웹쉘 탐지 프로그램(Whistl)"를 개발하여 보급합니다. 사용을 희망하는 회사(기관)에서는 사용 신청서를 작성하셔서 전자우편으로 첨부하여 신청하시기 바랍니다. 프로그램은 신청서에 작성한 전자우편으로 첨부하여 보내드리며, 신청하신 날짜로 부터 2~3일 정도 소요될 수 있습니다. ○ Whistl 사용신청서 다운로드 ○ Whistl 소개.. 2009. 8. 10. 빠른 웹 개발을 위한 자바스크립트 라이브러리 오늘은 자바스크립트 라이브러리 웹 사이트 몇 군데를 소개하겠습니다. http://prototypejs.org/ http://script.aculo.us http://jquery.com/ http://developer,yahoo.com/yui/ http://dojotoolkit.org/ http://code.google.com/webtoolkit/ http://mootools.net/ http://qooxdoo.org/ http://mochikit.com http://labs.adbe.com/technologies/spry/home.html http://xajaxproject.org/ 많이 사용하는 순서로 정렬했습니다. (http://ajaxian.com 발표 자료) prototype같은건 자바스크립트를 .. 2009. 4. 22. 이전 1 2 다음
