티스토리 뷰
최근 개발했던 웹사이트를 한국 인터넷진흥원에서 웹 보안취약점 점검을 받고 취약점 보고서를 받은 뒤 CASTLE 내 필터 패턴을 추가해야 되는 상황이 생겼다.
원래 CASTLE 인터넷진흥원에서 나온 도구이긴 하지만 발표후 패턴에 대한 업데이트 공지나 정보가 전혀 없는 상황이다.
사이트에 적용했던 CASTLE는 ASP 1.0.1 버전이며, 문제가 된 부분들은 SQL 인젝션과 XSS에 대한 부분들이다. CASTLE에 로그인한 뒤 정책설정 페이지로 가서 SQL Injection 과 XSS 부분에 다음과 같은 패턴을 추가한다.
SQL 인젝션에서는 빨간 테두리 부분을 추가한다.
XSS 에서도 빨간 테두리 부분을 추가한다. 위에 비슷한 패턴이 있는데 이상하게 걸러지지 않는다.
참고로 POST,GET 파라메터들을 받을때 확실한 형변환(문자형이냐 정수,실수형이냐)부분이라든지 SQL 명령어 필터링, 문자형의 경우 형식제한 및 HTML 태그가 들어가서 실행되지 않도록 어플상에서도 걸러주도록 신경써야 한다.
'New > 개발(코드)' 카테고리의 다른 글
| Vimeo 동영상 PHP로 다운로드 받기 (0) | 2011.08.27 |
|---|---|
| 안드로이드 webview를 이용한 간단한 앱 만들기 (0) | 2011.08.16 |
| IE6 이하 PNG 문제 수정 (0) | 2011.01.06 |
| 몇가지 CSS 트릭 from sixrevision (0) | 2010.10.24 |
| 10가지 CSS 팁 (1) (0) | 2009.06.17 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
TAG
- 자바스크립트
- 버퍼사이즈
- 보안
- 델타포스
- 캐슬
- 업데이트
- javascript
- deltaforce
- ajax
- IE
- 게임
- php
- 버퍼문제
- NODE_PATH
- mootools
- Repository
- Style
- 노바로직
- novalogic
- swfupload
- castle
- 리눅스
- epel
- kisa
- 무툴즈
- rwapm
- buffer-size
- css
- 모듈 경로
- 설치
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
글 보관함