{webkini_blog;}

클래식 ASP를 제외하고 다른 스크립트 언어들은 보안용 해쉬함수나 암호/복호화 함수들이 지원이 괜찮은 편이라 걱정되는 부분은 없는데 여전히 예전 ASP를 사용하는 경우 암호화에 대한 부분이 사실 좀 막막한 느낌이 든다. KISA(한국인터넷진흥원)에서 일단 소개하는 방법들을 보자면 웹방화벽으로 WebKnight가어플단으로 있고, CASTLE이라는 스크립트상에서의 방화벽 역할을 하는 필터가 존재한다. 근래 네이트나 넥슨같은 포털에서도 개인정보 유출이 되면서 개인정보를 다루는 사이트에서 보안에 대한 장치를 더 강화하도록 하고 있다. 요점만 정리하자면 2011.8.9 일자 인터넷 매체에서 나온 "인터넷 개인정보 보안 강화"에 대한 내용은 : 주민등록번호 수집 금지 ( 사이트 성격에 따라 예외가 있을 수 있음 )..

최근 개발했던 웹사이트를 한국 인터넷진흥원에서 웹 보안취약점 점검을 받고 취약점 보고서를 받은 뒤 CASTLE 내 필터 패턴을 추가해야 되는 상황이 생겼다. 원래 CASTLE 인터넷진흥원에서 나온 도구이긴 하지만 발표후 패턴에 대한 업데이트 공지나 정보가 전혀 없는 상황이다. 사이트에 적용했던 CASTLE는 ASP 1.0.1 버전이며, 문제가 된 부분들은 SQL 인젝션과 XSS에 대한 부분들이다. CASTLE에 로그인한 뒤 정책설정 페이지로 가서 SQL Injection 과 XSS 부분에 다음과 같은 패턴을 추가한다. SQL 인젝션에서는 빨간 테두리 부분을 추가한다. XSS 에서도 빨간 테두리 부분을 추가한다. 위에 비슷한 패턴이 있는데 이상하게 걸러지지 않는다. 참고로 POST,GET 파라메터들을 받을..