{webkini_blog;}

PHP환경 캐슬이 동작하지 않아서 이상하다 했는데 헤더에 미리 정의되어야 하는 필수 상수가 있었다. define("__CASTLE_PHP_VERSION_BASE_DIR__", "/절대경로/castle" ); 이런 이것도 모르고 여태 castle_refree.php만 인클루드 되면 쓸 수 있는 줄 알았다. 인젝션문자열을 넣어도 반응이 없길래 castle_refree.php를 열어보니 저 상수가 정의 안되면 동작하지 않도록 되어 있네 ㅠㅠ. log를 봐도 해킹시도가 전혀 없어서 이상하다 했는데, 일단 오늘부터 일부? 정상 가동.

최근 개발했던 웹사이트를 한국 인터넷진흥원에서 웹 보안취약점 점검을 받고 취약점 보고서를 받은 뒤 CASTLE 내 필터 패턴을 추가해야 되는 상황이 생겼다. 원래 CASTLE 인터넷진흥원에서 나온 도구이긴 하지만 발표후 패턴에 대한 업데이트 공지나 정보가 전혀 없는 상황이다. 사이트에 적용했던 CASTLE는 ASP 1.0.1 버전이며, 문제가 된 부분들은 SQL 인젝션과 XSS에 대한 부분들이다. CASTLE에 로그인한 뒤 정책설정 페이지로 가서 SQL Injection 과 XSS 부분에 다음과 같은 패턴을 추가한다. SQL 인젝션에서는 빨간 테두리 부분을 추가한다. XSS 에서도 빨간 테두리 부분을 추가한다. 위에 비슷한 패턴이 있는데 이상하게 걸러지지 않는다. 참고로 POST,GET 파라메터들을 받을..