반응형 HTML2 개발 보안 시리즈 [Command injection PHP 공격/대응] Command injection 이란? 웹 어플리케이션에서 system(), exec()와 같은 시스템 명령어를 실행시킬 수있는 함수를 제공하며 사용자 입력 값에 대한 필터링이 제대로 이루지지 않을 경우 공격자가 운영체제 시스템 명령어를 호출하여 백도어 설치나 관리자 권한 탈취 등 시스템 보안에 심각한 영향을 줄수 있습니다. Command injection 이해 하려면 CLI에 대한 이해가 필요합니다. 왜냐하면 웹 사이트가 사용하는 웹서버의 운영체제가 리눅스인 경우 input box란에 bash 명령어가 동작하기 때문입니다. 취약한 php 코딩 예시 입니다 . 소스 코드를 관찰하거나 확인함으로써 ping.php 스크립트가 시스템 명령을 호출하는지 확인할 수도 있습니다. 이로 인해이 스크립트에 명령 주입 .. 2021. 5. 4. 개발 보안 시리즈 [HTML 주석 공격/대응] 주석(Comment) HTML에서 주석을 사용할려면 입력 하면 됩니다. 주석은 화면상에 표시되지 않고 소스상에서만 확인할 수 있습니다. HTML소스를 작성할때 문서의 수정사항이나 태그의 설명 등을 보기 편하게 하기위해서 사용되는 것입니다. 주석을 사용하는 이유는 소스가 아주 길고 복잡한 경우 이 소스를 수정할때 알아보기가 힘들기에 주석을 달아놓으면 쉽게 어떤 의도로 이 소스를 작성했는지 알 수 있습니다. 그리고 여러 사람이 하나의 소스를 공동으로 작업하는 경우에도 일관된 원칙에 따라서 주석을 달아 놓으면 협업에서도 효율성이 증대됩니다. HTML을 공부하는 입장에서는 주석의 필요성을 잘 느끼지 못하지만 실무에서는 많이 사용합니다. 그렇게 어려운 개념은 아닙니다.그러나 개발 할 때 주석 처리대해 검토 하지 .. 2021. 5. 3. 이전 1 다음 반응형
