No Image

웹사이트 보안 개발 가이드 20160421

2017-07-25 KENNETH 0

웹사이트 보안 개발 가이드 20160421 중요 취약점 및 조치사항에 대한 내용을 듣고 나서… 뭐랄까.. 이렇게 알려주면 좋지 않을까 싶었던… 내용으로 정리해서   파일업로드 취약점 외부의 공격자가 서버에 (악성)파일을 업로드 하고 실행하는 형태의 공격 wp의 경우 PATH가 정해져 있기 때문에 wp-content/uploads 디렉토리에 대해 php를 구동불가능 하도록 처리하면 도움이 될듯 개발을 한다면 upload 되는 파일의 이름을 임의로 변경해서 (예를들어 : badfile.sh 라는 이름의 파일을 업로드 하면 XDAFDFafLKHIODAF 뭐 이런식으로 ㅋ) 유추하지 못하도록 하는 것도 방법이라고….   SQL 인젝션 Error Based Injection : error 메세지를 이용한 유추 Blind SQL Injection : 쿼리 조건에 따른 결과 화면으로 유추   INPUT 개체에 대해 문자를 검수 하는 형태로.. GET, POST 등으로 넘기는 입력값을 체크하는 옵션을 추가하여.. 가능한 부분에 대해서는 특수문자를   하아 쓰기 귀찮구나.. 1년 전에 이 글을 작성하다가 잠시 깜빡 했던 모양이다…. 임시글 항목에 들어있다니… 언젠가 이어서 쓰겠다능…  

AWS 패턴별 구축*운용 가이드 – 프리렉

2017-02-07 KENNETH 0

AWS 패턴별 구축*운용 가이드 원제 : AMAZON WEB SERVICESパタ-ン別構築.運用ガイド 一番大切な知識と技術が身につく 저자 : 사사키 타쿠로, 하야시 신이치로, 코니시 히데카즈, 사토 슌 역자 : 윤인성 출판사 : 프리렉 책정보 : http://book.naver.com/bookdb/book_detail.nhn?bid=11404160   개요 대상 독자 AWS를 사용하는 또는 사용해야 하는 사람     특징 주제를 기반으로 한 기술적인 설명 (결국 다 보고나면 ”바이블”에 가까운것 같기도 하지만.. ) 아마존 웹 서비스를 다루는 기술 (길벗/이재홍) 도서와 살짝 비교된다. (좋다/나쁘다 가 아님) 길벗의 책은 AWS의 각 기능을 ”목차”로 설명을 하고 있으며 이 책은 ”00를 하기 위해…”를 기반으로 설명을 하고 있다. 하지만 읽고나면 결국 똑같다…   적당한 솔직함 내가 발견한 부분은 2부분이다. (언급을 해버리면 기술적인 설명을 해야하기 때문에… 그냥 2부분…) AWS가 제공하는 서비스의 기술적 특성이 100% 만족 또는 올바름은 아닐수도 정도의 설명으로 해두자…! 이런거 너무 좋다 뭔 기술만 나오면 자위하듯 도취 해서는 약을 파는 경우가 많음에도 제대로된 지식을 알려줘야 한다는 철학이 있는거다. 전체 내용중 일부이지만 저자의 성향을 [ more… ]

No Image

인터넷으로 서비스를 제공하기 위해 챙겨야 할 실용적인 보안 가이드

2016-05-24 KENNETH 0

인터넷으로 서비스를 제공하기 위해 챙겨야 할 실용적인 보안 가이드   모처럼 소개할 만한 사이트를 찾음.. URL : https://www.gitbook.com/book/lesstif/web-service-hardening/details ebook : https://lesstif.gitbooks.io/web-service-hardening/content/     엔지니어 분들이라면 아시겠지만… 이분이 전자책으로 엮어놓은 내용 처럼 편집하는 것 자체가 쉽지 않다. 기술적인 내용이야 알고 있다 치더라도.. 그걸 또 저렇게 담아 내는것은 다른 이야기니… 가서 참고 합시다…