{webkini_blog;}

최근 개발했던 웹사이트를 한국 인터넷진흥원에서 웹 보안취약점 점검을 받고 취약점 보고서를 받은 뒤 CASTLE 내 필터 패턴을 추가해야 되는 상황이 생겼다. 원래 CASTLE 인터넷진흥원에서 나온 도구이긴 하지만 발표후 패턴에 대한 업데이트 공지나 정보가 전혀 없는 상황이다. 사이트에 적용했던 CASTLE는 ASP 1.0.1 버전이며, 문제가 된 부분들은 SQL 인젝션과 XSS에 대한 부분들이다. CASTLE에 로그인한 뒤 정책설정 페이지로 가서 SQL Injection 과 XSS 부분에 다음과 같은 패턴을 추가한다. SQL 인젝션에서는 빨간 테두리 부분을 추가한다. XSS 에서도 빨간 테두리 부분을 추가한다. 위에 비슷한 패턴이 있는데 이상하게 걸러지지 않는다. 참고로 POST,GET 파라메터들을 받을..

noSQL가 쓰이기 시작하고 있어서 어떤 기술인가 뒤적거리다가 한번 써보기로 하고 쓸만한? DB를 고르기 시작했는데, 벤치마크 결과 우수하다고 생각되는 Cassandra(http://cassandra.apache.org/)를 먼저 선택했다. 일단 문제가 된 부분은 Java 기반의 프로그램이라는것 java를 설치해야 실행이 된다. java가 깔려있다면 실행 자체는 아주 쉽다. 그 다음 문제는 PHP 익스텐션이 없다는 점. thrift 기반으로 만들어졌지만 제대로된 퍼포먼스를 보려면 아무래도 사전 컴파일된 익스텐션 형태가 좋다. 테스트 환경이 윈도우 + RWAPM 이라서 dll 익스텐션이 필요한데 구하기가 힘들다.(직접 컴파일하기는 더 힘들다;) 마지막으로 업데이트가 너무 빠르다는 단점이 있다. 한달에 한번..