php65 HF WebShell 웹쉘생성기 1.0 HF WebShell生成管理器1.0 중국 해커들이 애용하는 웹쉘(Web Shell) 자동 생성기 중 하나입니다. 웹쉘을 ASP, PHP, JSP 등 여러가지 스크립트를 자동으로 생성해 줍니다. 해킹 및 보안 테스트를 위한 용도로 사용하고, 다른 용도로는 사용을 주의하셔야 합니다. 참고 : http://www.hackyuyi.cn 2009. 9. 24. 제로보드 4.1pl9 신규취약점 및 배포⋅서비스 중지에 따른 주의 □ 개요 o 가장 최근에 공개된 제로보드 4.1pl9에 대한 취약점이 발견됨 o 제로보드 4.1pl9가 특별하게 조작된 파라미터를 처리하는 과정에서 내부 파일이 웹페이지에 노출되거나 임의의 명령을 수행하는 취약점 ※ 임의의 명령 실행은 PHP버전 5.2 이상에서만 가능하며 파일 노출 취약점은 PHP 모든 버전에서 가능함 o 또한 제로보드4의 공식적인 배포가 09년 9월 25일자로 중지되어 향후 신규 취약점에 대한 공식적인 보안 패치 가 제공되지 않을 예정[1, 2] o 이에 따라 국내 이용자가 많은 제로보드 4.1pl9 및 제로보드4 사용에 주의를 요함 □ 영향을 받는 시스템 o 제로보드 4.1pl9 버전 □ 조치 방법 o "_head.php, skin/zero_vote/ask_password.php, .. 2009. 9. 23. 안전한 PHP 파일 업로드 구현 체크 리스트 1. Content Type 검증 $_FILES['uploadfile']['type']로 MIME type 검증 * PHP가 받아오는 MIME type은 웹브라우저가 넘겨주는 값을 그대로 쓴다. 대다수 웹브라우저들은 확장자로 MIME type을 결정하기 때문에 신뢰도가 떨어지는 건 어쩔 수 없다. 2. Image 파일 검증 $imageInfo = getimagesize($_FILES['uploadfile']['tmp_name']); getimagesize로 MIME type 검증하기 * 이미지 업로드시 쓰는 방법이다. 이미지라면 제대로 값을 return 해주지만 그렇지 않으면 return을 못한다. 3. 확장자 검증 $filename = $strtolower($_FILES['uploadfile']['na.. 2009. 9. 23. mysqli 활용한 SQL Injection 예방 SQL Injection 예방을 위한 DB 쿼리 방식을 mysqli 를 활용하여 Executes a prepared Query 방식을 통해 안전한 DB 쿼리를 할 수 있다. 이에 대한 예제를 참고로 기존 코드 및 차후 코드를 변경하는 것이 보안성 및 편리성을 추구할 수 있다. 아래에서 동일한 기능을 하는 간단한 예제 두가지 방식을 제시한다. Example #1 Object oriented style Example #2 Procedural style 위 예제의 출력: Stuttgart (DEU,Baden-Wuerttemberg) Bordeaux (FRA,Aquitaine) 예제 출처 : http://kr.php.net/ 2009. 9. 21. PHP V6 새로운 기능과 미래 PHP V6에서 등장할 새로운 기능과 PHP 스크립트에서 달라질 부분을 살펴보자 Nathan A. Good, 선임 정보 엔지니어, Consultant 옮긴이: 박재호 이해영 dwkorea@kr.ibm.com 2008 년 7 월 29 일 PHP 다음 버전인 V6는 객체 지향 관점에서 사용하기 쉽도록 새로운 기능을 제공하고 문법을 개선합니다. 또한 핵심 함수에서 유니코드를 지원하는 등 다국어 지원과 안정성이 한층 높아졌습니다. PHP는 이미 인기가 높다. (Netcfaft에 따르면) 수백만 도메인이 PHP를 사용하며, 대다수 ISP가 PHP를 지원하며, 야후!와 같이 대표적인 웹 회사에서도 PHP를 사용한다. 이에 PHP V6는 유용성과 안정성을 더욱 높여주는 새로운 기능을 제공하여 현재 성공에 박차를 가하.. 2009. 9. 17. 이전 1 ··· 5 6 7 8 9 10 11 ··· 13 다음
