Tech/보안

소스코드 sqlInjection.php

http://www.mospa.go.kr/frt/bbs/type001/commonSelectBoardList.do?bbsId=BBSMSTR_000000000012 위 주소로 접속후 검색 부분에 작성자로 한후 "정보기반보호과" 로 검색하면 정부에서 발행하는 보안가이드를 찾아 볼수 있다. 참고 자료 쪽에서 "보안" 으로 검색하면 많이 나오므로 둘러보자. 작성일은 2014년 5월달로 비교적 최신이다.

Textarea 에 글을쓸때 개행문자가 있을시 데이터베이스에는 평문으로 들어간다. 혹은 띄어쓰기가 들어간채로. 이문제로 인해 저장시 \r\n 은 태그로 치환하였다. 여기 까진 좋았다. 그러나 XSS 가 문제 였다. 개행문자를 제외하고는 당연히 치환을 해주지 않으니. 아주 당연하게도 경고창을 뽐내주신다. 그래서 VIEW 단에서 jstl 의 out 태그로 뽑아봤다. 데이터베이스에 저장되어있는 문자 그대로 뽑아준다. 한번 필터링 해주고 뽑아주나보다..결국은 서버단에서 보안에 문제가 되는 태그는 모두 치환해주어야 하나보다.. 임시로 "

http://httpd.apache.org/docs/2.2/misc/security_tips.html 한국으로 번역이 잘되어있네요. 2.2 기준인것 같습니다. 지금 2.4인가. 가 최신버전인데. 대부분 2.2을 쓰실테니..