|
|
[ °ø Áö ] ÀͽºÇÁ·¹½º¿£Áø º¸¾È ¾÷µ¥ÀÌÆ® ±Ç°í |
|
2012-11-22 |
|
|
¾È³çÇϽʴϱî. È£½ºÆ®¸ÕÆ®ÀÔ´Ï´Ù.
¸ÕÀú È£½ºÆ®¸ÕÆ®¸¦ ¾Æ²¸ÁÖ½Ã°í »ç¶ûÇØ Áֽô °í°´ ¿©·¯ºÐ²² Áø½ÉÀ¸·Î °¨»çµå¸®¸ç
ÀͽºÇÁ·¹½º¿£Áø º¸¾È ¾÷µ¥ÀÌÆ® ±Ç°í°¡ ÀÖ¾î À̸¦ ¾Ë·Áµå¸®°íÀÚ ÇÕ´Ï´Ù.
---------------------------------------------------------------------------
[°³¿ä]
•±¹³» PHP±â¹ÝÀÇ °ø°³ À¥ °Ô½ÃÆÇÀÎ ÀͽºÇÁ·¹½º¿£Áø¿¡¼ À¥½©ÄÚµå »ðÀÔ ¹× XSS Ãë¾àÁ¡ÀÌ
¹ß°ßµÊ
•Ãë¾àÇÑ ¹öÀüÀ» »ç¿ëÇÏ°í ÀÖÀ» °æ¿ì, ȨÆäÀÌÁö ÇØÅ·¿¡ ÀÇÇØ °ü¸®ÀÚ ±ÇÇÑ Å»Ãë, ȨÆäÀÌÁö º¯Á¶,
µ¥ÀÌÅͺ£À̽º Á¤º¸ À¯Ãâ µîÀÇ ÇÇÇظ¦ ÀÔÀ» ¼ö ÀÖÀ¸¹Ç·Î À¥ °ü¸®ÀÚÀÇ Àû±ØÀûÀÎ Á¶Ä¡ ÇÊ¿ä
[ÇØ´ç½Ã½ºÅÛ]
•¿µÇâ¹Þ´Â ¼ÒÇÁÆ®¿þ¾î
- ÀͽºÇÁ·¹½º ¿£Áø 1.5.3.3 ¹× ÀÌÀü ¹öÀü
[ÇØ°á¹æ¾È]
•±âÁ¸ ÀͽºÇÁ·¹½º ¿£Áø »ç¿ëÀÚ´Â ¾÷µ¥ÀÌÆ®°¡ Àû¿ëµÈ »óÀ§ ¹öÀüÀ¸·Î ¾÷±×·¹À̵å [1]
¡Ø ÆÐÄ¡ ÀÛ¾÷ ÀÌÀü¿¡ ¿øº» ÆÄÀÏÀº ¹é¾÷ ÇÊ¿ä
•ÀͽºÇÁ·¹½º ¿£ÁøÀ» »õ·Î ¼³Ä¡ÇÏ´Â ÀÌ¿ëÀÚ
- ¹Ýµå½Ã º¸¾ÈÆÐÄ¡°¡ Àû¿ëµÈ ÃֽŹöÀü(1.5.3.4 ÀÌ»ó)À» ¼³Ä¡
[¿ë¾î Á¤¸®]
•PHP : µ¿ÀûÀÎ À¥»çÀÌÆ®¸¦ À§ÇÑ ¼¹ö Ãø ½ºÅ©¸³Æ® ¾ð¾î
•À¥½©(Webshell) : php, jsp, asp µî ½ºÅ©¸³Æ® ¾ð¾î·Î µÇ¾î ÀÖÀ¸¸ç, ¿ø°Ý¿¡¼ À¥¼¹ö¸¦ Á¦¾îÇÒ
¼ö ÀÖ¾î ´Ù¾çÇÑ °ø°Ý »ç¿ëµÉ ¼ö ÀÖ´Â À¥¼¹öÇü ¾Ç¼ºÄÚµå
•XSS (Cross Site Scripting) : »ç¿ëÀÚ ºê¶ó¿ìÀú¿¡ ȨÆäÀÌÁö ³»¿ëÀ» Ç¥ÇöÇϱâ À§ÇØ »ç¿ëÇÏ´Â
½ºÅ©¸³Æ®¸¦ ¾Ç¿ëÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡À̳ª ÇØÅ· ±â¹ý
•ÀͽºÇÁ·¹½º¿£Áø : PHP¾ð¾î·Î ÀÛ¼ºµÈ ȨÆäÀÌÁö¿ë °Ô½ÃÆÇ ¼ÒÇÁÆ®¿þ¾î ¶Ç´Â ÇÁ·¹ÀÓ ¿öÅ©
[¹®ÀÇ»çÇ×]
•Çѱ¹ÀÎÅͳÝÁøÈï¿ø ÀÎÅͳÝħÇØ´ëÀÀ¼¾ÅÍ: ±¹¹ø¾øÀÌ 118
[±âŸ]
•À¥½©ÄÚµå »ðÀÔ Ãë¾àÁ¡Àº KrCERT ȨÆäÀÌÁö¸¦ ÅëÇØ Àå°æĨ(Black Falcon)´Ô²²¼ Á¦°øÇØ
Áּ̽À´Ï´Ù.
•XSS Ãë¾àÁ¡Àº KrCERT ȨÆäÀÌÁö¸¦ ÅëÇØ ±èÁ¤Çõ(Black Falcon)´Ô²²¼ Á¦°øÇØÁּ̽À´Ï´Ù.
[Âü°í»çÀÌÆ®]
[1] http://www.xpressengine.com/blog/textyle/21351939
---------------------------------------------------------------------------
°¨»çÇÕ´Ï´Ù.
Áñ°Å¿òÀÌ Àִ ȣ½ºÆà ¼ºñ½º [ È£½ºÆ®¸ÕÆ® ]
|
|
|