시판 내용에서 HTML태그의 허용은 여러가지 문제를 야기시킨다. 특히나 태그를 사용해서 레이아웃을 잡은 디자인일 경우 게시물 내용중에,등이 잘못 들어갈 경우 게시물 내용은 처참하게 깨지게 되는 결과를 초래하게 된다. 태그가 아닌 레이아웃일지라도 를 잘못 넣게 되면 역시 같은 문제가 발생한다. 또한 ,등을 허용했을 경우는 뒷감당하기 힘들어질 수가 있다.한술 더떠 이런 취약점을 이용한 게시판 테러는 서버 다운이나 정보유출등의 심각한 문제까지 발생할 수가 있다. C#에서는 Server.HtmlEncoding()를 제공하기 때문에 게시물 내용중에 포함된등의 HTML특수문자를 간단하게 처리할 수 있다. 그렇지만, HTML태그가 전혀 허용되지 않은 게시물은 삭막하기 이를데 없을뿐더러웹에디터를 거의 대부분 사용하는 ..
출처 : http://valley.egloos.com/viewer/?url=http://studionabu.egloos.com/428065 프로젝트 쫑 기념으로 지금 프로젝트의 서버 구성도나 이야기 해보겠습니다. 일단 DB/Image 를 빼고는 모두~ Cloud입니다. L4도 Cloud~, Web Server도 Cloud~, Admin Server(주 작업 서버)도 Cloud~(트래픽이 엄청 발생하면 비용도 엄청 발생합니다~) 그리고 Cloud와 물리 서버(DB/Image)가 내부 네트웍으로 묶여있습니다. 떨어진 과제는 동접(웹 게임에 무슨 동접이니..) 1만 커넥션을 유지해달라! 기존에 퍼블리싱 했던 게임은 동시접속 4천(이건 어떻게 체크한거지?) 정도였다고 합니다. 이번엔 투자된 돈(우린 받은게 없지..
NAS를 윈도우에서 네트워크드라이브로 연결해서 쓰니까 굉장히 편하다. 그래서 우분투 서버에도 윈도우에서와 동일한 방식으로 연결해서 쓰고 싶어서 이리저리 웹서핑을 하다가 비로소 어떻게 하는지 알아냈다. ('마운트'라는 개념도 비로소 알게 됐다. 우분투 굴린지가 얼마인데 이제 알았다 -_-;;;) NAS 환경 주소: 192.168.100.100/Share ID: testid PWD: testpwd NAS환경이 위와 같다면 1. 먼저 smbfs를 설치해준다. $ sudo apt-get install smbfs 2. 마운트한다 2.1. NAS를 우분투 서버에 연결할 폴더 생성 $ mkdir /media/mynas 2.2. 마운트명령 $ sudo mount -t cifs //192.168.100.100/Share..
출처:http://www.okjsp.net/seq/226433 방화벽 관리업체에서 온 내용입니다. 저희는 IIS라 괜찮은데... 해당되시는 분들 주의하셔야 할듯... - KISA 공지 사항 : ‘Apache Struts 2 원격코드 실행 취약점 보안업데이트 권고’ http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=2447- 뉴스 : ‘Struts2 공격툴로 한국 대형사이트 집중 공격...힘겨운 대응!’ http://www.dailysecu.com/news_view.php?article_id=4812 - 중국 내에서 현재(2013. 7.18) CVE-2013-2251 취약점 관련 사항이 급속도로 확산현재 국내 사이트..
밑에 참고자료로 해보았지만 POST multipart-formdata는 되지 않았다... ----------------------------------------------------------------------보안파트로부터 최근 XSS를 이용한 공격사례가 증가하고 있다는 내용과 함께, request로 넘긴 javascript가 그대로 실행되는 페이지가 전달되었다. 매번 문제가 되는 부분만을 해결기에 급급하다보니, 누락된 부분이나 신규 개발되는 영역에서 문제가 다시 발생하기 마련이다. framework이나 공통모듈에서의 지원이 이루어지지 못했던 점도 있다. 신규 framework를 개발하면서 반드시 추가되어야 할 내용이다. 위 내용을 들으면서 잠깐동안 어떻게 구현해야될지를 생각해봤는데, 생각보다 고려..
출처 : http://shonm.tistory.com/entry/JSP-XSS-Filter 웹 페이지 입력 란에 이런 식으로 입력을 하면 입력 정보를 불러 올 때 alert 가 뜨게 될 수 있는데... 이게 악성 스크립트를 전송 하여 클릭 시 PC 의 인증 정보를 수집하여 공격하는 Cross Site Scripting 이 가능 하다고 본다고 한다. 그래서 등을 입력 받지 못하도록 막아야 한다고 대형 사이트의 보안 권고 사항이 나온다. JSP 개발 상황이라면 class 2개 를 만들고 web.xml 에 간단한 filter 추가로 해결 할 수 있다. 일단 servlet-api.jar 파일을 lib 폴더에 넣는다. (tomcat 등에 있다.) 그 다음 class 2 개를 추가 한다. 추가 해야 할 ..
아래 내용은 아직 미 분석 된 내용----------------------------------------------------------------------------------------------------------------------------출처 : http://mimul.com/pebble/default/2009/10/04/1254641100000.htmlCross-Site Scripting (XSS)에대한 방어책은 다양하게 많지만, 그 방어책 중에 하나인 필터를 활용하는 방법을 공유합니다. 참고 소스인 com.josephoconnell.html.HTMLInputFilter.class를 활용한 필터를 만들어 봤습니다. 보안 위협 요소중의 하나인 Cross-Site Scripting (XS..
HTML 출력에 들어가는 Content-Type의 charset을 변조함으로써, XSS 공격에 사용되는 문자열이 XSS차단필터에 의해서 걸리지 않도록 하는 검사회피기술이다. 예를 들어서, 원래의 XSS 공격 문자열이 라고 하자. 그런데, XSS차단필터가 와 같은 문자열을 차단하기 때문에, 이 공격은 성공할 수 없다. 그런데, 만약 서버의 응답 HTML의 Content-Type 선언에서 charset을 변경시킬 수 있다면, 이 XSS차단필터를 통과할 수 있다. 예를 들어, 아래와 같은 문자열은 XSS차단필터에서 보면, 전혀 의미가 없는 문자열일 뿐이다. %A2%BE%BCscript%BEalert(%A2XSS%A2)%BC/script%BE 그렇지만, 위의 문자열을 US-ASCII charset으로 디코딩을 ..