사각형광고


[17] 웹 애플리케이션 해킹 대작전 -2011 by syj8

웹 애플리케이션 해킹 대작전 - 웹 개발자가 알아야 할 웹 취약점과 방어법 (CD:1) 웹 애플리케이션 해킹 대작전 - 웹 개발자가 알아야 할 웹 취약점과 방어법 (CD:1)
마이크 앤드류스, 윤근용, 제임스 A. 휘태커 | 에이콘출판사 | 20070130
평점

상세내용보기
| 리뷰 더 보기| 관련 테마보기

 


이책에 관점은 사람들이 어떤 방식으로 해킹을 하는지 알면 그런것들을 막을수 있다는 취지하게 쓰여진 책입니다.


발간된 날짜를 보니 2007년이더군요. 시간이 지났지만 여전히 중요한 내용들이라 생각되더군요.


 


기억에 남는 내용들을 잠깐 나열해보면..


 


간혹 전 여러 홈페이지에 로그인할때 id 와 pass word 를 잘못입력했을때.. 내가 잘못입력한것이 id 인지 password 인지 안알려주는것에 분통터져 했었는데 그런것들도 악용이 가능하다는걸 이책을 통해 알았습니다.


 


세상은 착한 사람들만 있는것이 아니니까요.. 그래서 통합적인 "아이디 혹은 비밀번호가 일치하지 않습니다" 와 같은 메시지를 뿌려준다고 합니다.


 


어떻게 악용하나.. 보면 sql injection 과 관련하여 먼저 id 를 알경우는 입력한 id 뒤에 사용하는 주석 키워드를 넣어줘서 pass word 체크를 막아버리 방법입니다. 즉 문제는 sql 에서 사용하는 키워드를 체크하지 않는다는 점 또한 받은 값을 그대로 sql 문으로 조합하는 점 등을 꼽을수 있습니다. 즉 친절한 에러문일 경우에는 좀더 손쉽게 해킹할수 있는 한걸음을 던져주는것이죠. 


 


또한 간단한 툴을 설치하면 http 콜을 모두 중간에서 잡아줍니다. 이 점은 사용자에게 보여주는 에러 메시지 이외에 서버가 던지는 메시지를 잡아 볼수 있다는것이죠.


 


이때 검색어에 싱글쿼터 (') 와 같은걸 넣었는데 http 콜 값이 500 에러가 나왔다는건 화면에는 아무 영향은 안주지만 서버에는 전달되었음을 의미합니다. 즉 ... 과한 검색으로 서버가 다운이 될수도 있고 사용자가 강제로 최악의 경우는 db 값을 넣을수 있다는 말이기도 하죠


 


이책은 프로그래머에게 사용자들이 호락 호락 하지 않다는것을 알려줍니다. 즉.. 만들때 좀더 꼼꼼한 체크가 필요하겠더군요.


 



이글은 "인터파크도서"에서 작성되었습니다.

핑백

  • 뿔난야옹이 : 2011년 내 이글루 결산 2012-01-03 00:35:32 #

    ... 사프란볼루 (05) [참좋은여행 패... 1위: 여행(43회) | 홍콩 - 먹거리, 마트 쇼핑 2위: 도서(15회) | [17] 웹 애플리케이션 해킹 대작전 -2011 3위: 영화(2회) | 강원 - 오대산 월정사 4위: 패션&뷰티(1회) | 이니스프리 10월 이니 플러스 ... more


상단광고


메모장_구글