티스토리 뷰
요번에 학교 홈페이지를 외주를 두고 개발하게 되었습니다.
실제 개발해온 게시판을 사용해 보고 여러가지 느낀 점이 있어 포스팅합니다.
어떤 스크립트건간에 항상 문제되는 것이 클라이언트 스크립트 삽입에 관한 것 입니다.
외주 개발자와 통화를 통하여 여러가지 이야기를 전해 들었습니다만 저로서는 조금은 이해할 수 없었습니다.
그 쪽 개발자의 말씀은 한마디로 요약하자면 "장점이 있다" 라는 것이었습니다.
블로그나 다른 페이지에서 스크립트를 포함한 게시글을 긁어와 등록할 경우 모든 원본 글이 깨지지 않고 등록될 수 있다. 라는 것이 그것이었습니다.
솔직히 말하면 스크립트를 그냥 삽입할 경우 삽입이되지 않았습니다. 그래서 XSS의 방법으로 변조된 스크립트 데이터를 넣었더니 그대로 실행되더군요. 그렇다면 그 쪽 개발자의 말씀은.. 그냥 상황을 대처하기 위한 것이었던가요?.. 되묻고싶었지만 일단 패스.
하지만 그러한 간단한(?) 장점외에 스크립트 삽입을 통하여 마이페이지의 개인정보를 긁어간다던지. 하는 문제가 관건이라고 봅니다. 과연 보안을 유지하지 못하면서까지 그런 편의(?)를 제공해야 하나 라는 생각이 문득 들더군요. Ajax나 기타 기술이 일반화(?) 되면서 그러한 것은 정말 간단한 일로 여겨질 수 있다고 생각합니다. 또한 cookie를 이용한 스니핑 공격의 대상이 될 수 있다고 봅니다. 실제로 PHPSESSIONID를 긁어가는 것을 확인했고요. PHPSESSIONID과 웹 프록시를 사용한다면 관리자계정으로 로그인이 가능하겠지요-0-?ㅎㅎ 그렇다면 관리자 권한은 어쩌란겁니까 ㅠ_ㅠ
이것외에도 보안에 관한 문제가 걱정되는 것이 많습니다. 로그인 과정을 보기위해 Fiddler 를 실행하고 넘어가는 url이나 변수들을 보던중.... !!!!!!!!!!!!! 아이디와 비밀번호가 GET방식으로 넘어가더군요. 훗-_- 저희 학교에서 무선이 조금 일반화 되어있는터라... 누가 url만 낚아 보기라도한다면 이라는 생각이 팍! 들더군요. 실제 가능한지는 테스트해보지 않아 모르겠지만. 같은 네트워크 상에 있는 사람들의 패킷은 훔쳐본적이 있기때문에 ㅋ
아무튼 그러했습니다. 솔직히 개발업체 입장에서 생각하면 어떤지 모르겠지만 실제 오픈이 2월 말 또는 3월 초였습니다. 참.. 링크 잘못된 것도 많고 수정할 것도 아직 많습니다. 빨리빨리 수정해주었으면 하는 바람이 있는데.. 개발자/디자이너 의견이 왔다갔다 해서 늦는다고 하지만 하나 요구하면 하루이상 걸리는건 조금... 그리고 시일이 이렇게 지났는데 정시퇴근은 좀 ㅠ_ㅠ
----여기까지는 푸념이었습니다. ㅋ 뭐 다 지난일을 푸념해봐야 ㅠㅠ
그래서 본론으로~ ㅋㅋ
전 아직 학생이라 실제 개발자들의 노고를 모를지도 모릅니다만... ㅋㅋ
사용자가 입력한 스크립트를 막는다는 것은 참 힘든일입니다. 어떠한 변조를 통해 접근할지 모르니 말이지요.
실제 변조된 코드는 암호화 되어 들어가는 경우도 보았습니다.. 스타일시트 핵을 통해 사용하는 경우도 있는것으로 알고 있습니다. 하지만 최소한 공개한 XSS 의 접근은 막아야 하지 않겠나 하는 생각이 듭니다.
실제로 변수로 넘겨주는 과정에서 할것이 아니라 실제 DB에 insert되기 직전에 데이터를 처리하는것이 가장 안전한 방법이겠지요. 제가 이전에 싸이월드 방문자 추적기라 하여 XSS를 통하여 싸이월드에 스크립트를 박는 장난을 조금 쳤었습니다. (실제로 굉장히 재밌더군요 -_-;;) 뭐 스크립트를 박는 과정을 연구했으니.. 이러한 것에 대해 생각하는 것이 당연한 것일지도 모르겠습니다.
이전에 XSS 를 볼때 참고했던 테이블은 아래 주소입니다.
제가 알기론 왠만한 공격들은 포함하고 있는 듯 합니다.
위의 소스를 통하여 많이 접근도 해보았지만.. 강력합니다 ㅡㅡㅋ 하지만 싸이월드 쪽에는 적용하지 마시길..
아마 왠만한건 막았을겁니다. ㅋㅋ
사실 저것뿐만이 아닙니다. 공개된 XSS들은 굉장히 많습니다.
아마 이 포스트를 보시는 분이라면 XSS가 무엇인지 아시겠지요? ㅋㅋ 를 전제하고 쓴 글입니다. ㅋ
기술적 정보라기 보다는 [ 푸념 + 사이트소개(?) ] 정도가 되겠네요. ^^
기존에 올리기로했던 오라클연동 에 대해서도 올려야하는데, 그게 또 문제가 생겨버렸습니다. ㅋ
한글쿼리문제라죠^^;; PHP+ORACLE 환경에서 한글쿼리 문제 해결하신 분이 혹시 계시다면 리플이라도 하나 남겨주세요 ㅠㅠ
업체쪽 개발자 분이라면 언제든 제동 팍팍 걸어주십시오^^!!
그리고 스크립트를 막는 방법에 대해서는 저 위의 테이블을 기준으로 막는 방법들에 대해 포스팅하겠습니다.
그럼 즐거운하루되세요^^
실제 개발해온 게시판을 사용해 보고 여러가지 느낀 점이 있어 포스팅합니다.
어떤 스크립트건간에 항상 문제되는 것이 클라이언트 스크립트 삽입에 관한 것 입니다.
외주 개발자와 통화를 통하여 여러가지 이야기를 전해 들었습니다만 저로서는 조금은 이해할 수 없었습니다.
그 쪽 개발자의 말씀은 한마디로 요약하자면 "장점이 있다" 라는 것이었습니다.
블로그나 다른 페이지에서 스크립트를 포함한 게시글을 긁어와 등록할 경우 모든 원본 글이 깨지지 않고 등록될 수 있다. 라는 것이 그것이었습니다.
솔직히 말하면 스크립트를 그냥 삽입할 경우 삽입이되지 않았습니다. 그래서 XSS의 방법으로 변조된 스크립트 데이터를 넣었더니 그대로 실행되더군요. 그렇다면 그 쪽 개발자의 말씀은.. 그냥 상황을 대처하기 위한 것이었던가요?.. 되묻고싶었지만 일단 패스.
하지만 그러한 간단한(?) 장점외에 스크립트 삽입을 통하여 마이페이지의 개인정보를 긁어간다던지. 하는 문제가 관건이라고 봅니다. 과연 보안을 유지하지 못하면서까지 그런 편의(?)를 제공해야 하나 라는 생각이 문득 들더군요. Ajax나 기타 기술이 일반화(?) 되면서 그러한 것은 정말 간단한 일로 여겨질 수 있다고 생각합니다. 또한 cookie를 이용한 스니핑 공격의 대상이 될 수 있다고 봅니다. 실제로 PHPSESSIONID를 긁어가는 것을 확인했고요. PHPSESSIONID과 웹 프록시를 사용한다면 관리자계정으로 로그인이 가능하겠지요-0-?ㅎㅎ 그렇다면 관리자 권한은 어쩌란겁니까 ㅠ_ㅠ
이것외에도 보안에 관한 문제가 걱정되는 것이 많습니다. 로그인 과정을 보기위해 Fiddler 를 실행하고 넘어가는 url이나 변수들을 보던중.... !!!!!!!!!!!!! 아이디와 비밀번호가 GET방식으로 넘어가더군요. 훗-_- 저희 학교에서 무선이 조금 일반화 되어있는터라... 누가 url만 낚아 보기라도한다면 이라는 생각이 팍! 들더군요. 실제 가능한지는 테스트해보지 않아 모르겠지만. 같은 네트워크 상에 있는 사람들의 패킷은 훔쳐본적이 있기때문에 ㅋ
아무튼 그러했습니다. 솔직히 개발업체 입장에서 생각하면 어떤지 모르겠지만 실제 오픈이 2월 말 또는 3월 초였습니다. 참.. 링크 잘못된 것도 많고 수정할 것도 아직 많습니다. 빨리빨리 수정해주었으면 하는 바람이 있는데.. 개발자/디자이너 의견이 왔다갔다 해서 늦는다고 하지만 하나 요구하면 하루이상 걸리는건 조금... 그리고 시일이 이렇게 지났는데 정시퇴근은 좀 ㅠ_ㅠ
----여기까지는 푸념이었습니다. ㅋ 뭐 다 지난일을 푸념해봐야 ㅠㅠ
그래서 본론으로~ ㅋㅋ
전 아직 학생이라 실제 개발자들의 노고를 모를지도 모릅니다만... ㅋㅋ
사용자가 입력한 스크립트를 막는다는 것은 참 힘든일입니다. 어떠한 변조를 통해 접근할지 모르니 말이지요.
실제 변조된 코드는 암호화 되어 들어가는 경우도 보았습니다.. 스타일시트 핵을 통해 사용하는 경우도 있는것으로 알고 있습니다. 하지만 최소한 공개한 XSS 의 접근은 막아야 하지 않겠나 하는 생각이 듭니다.
실제로 변수로 넘겨주는 과정에서 할것이 아니라 실제 DB에 insert되기 직전에 데이터를 처리하는것이 가장 안전한 방법이겠지요. 제가 이전에 싸이월드 방문자 추적기라 하여 XSS를 통하여 싸이월드에 스크립트를 박는 장난을 조금 쳤었습니다. (실제로 굉장히 재밌더군요 -_-;;) 뭐 스크립트를 박는 과정을 연구했으니.. 이러한 것에 대해 생각하는 것이 당연한 것일지도 모르겠습니다.
이전에 XSS 를 볼때 참고했던 테이블은 아래 주소입니다.
제가 알기론 왠만한 공격들은 포함하고 있는 듯 합니다.
위의 소스를 통하여 많이 접근도 해보았지만.. 강력합니다 ㅡㅡㅋ 하지만 싸이월드 쪽에는 적용하지 마시길..
아마 왠만한건 막았을겁니다. ㅋㅋ
사실 저것뿐만이 아닙니다. 공개된 XSS들은 굉장히 많습니다.
아마 이 포스트를 보시는 분이라면 XSS가 무엇인지 아시겠지요? ㅋㅋ 를 전제하고 쓴 글입니다. ㅋ
기술적 정보라기 보다는 [ 푸념 + 사이트소개(?) ] 정도가 되겠네요. ^^
기존에 올리기로했던 오라클연동 에 대해서도 올려야하는데, 그게 또 문제가 생겨버렸습니다. ㅋ
한글쿼리문제라죠^^;; PHP+ORACLE 환경에서 한글쿼리 문제 해결하신 분이 혹시 계시다면 리플이라도 하나 남겨주세요 ㅠㅠ
업체쪽 개발자 분이라면 언제든 제동 팍팍 걸어주십시오^^!!
그리고 스크립트를 막는 방법에 대해서는 저 위의 테이블을 기준으로 막는 방법들에 대해 포스팅하겠습니다.
그럼 즐거운하루되세요^^
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- 선택자
- Referer 체크
- aion 컬러 메시지 생성기
- jQuery 셀렉터
- 유튜브 다운로드
- C# 웹페이지 호출
- iconv()
- Ajax강좌
- aion 글자색 바꾸기
- 한림대학교
- php referer
- 유튜브 동영상 다운로드
- 네임서버란
- aion 글자색 생성기
- ajax
- jQuery selector
- C# HTTP
- 네임서버 강좌
- 제이쿼리 선택자
- 제이쿼리 강좌
- 도메인강좌
- XML과 Ajax
- aion 글자색
- jQuery 강좌
- youtube 다운로드
- youtube download
- 도메인 강좌
- C# POST
- 도메인 네임서버
- 악의적 스크립트 차단
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
글 보관함