본문 바로가기

injection4

php DB 인젝션 공격 방어 인젝션 방어를 위한 처리를 하기 위해선 get, post 로 넘어오는 모든 변수중에서 DB에 사용될 변수에 대해 검수를 거친뒤에 DB에서 사용하도록 해야하나 이미 구축된 사이트에 일일이 적용하기엔 힘들 경우 아예 get, post 데이터 전체를 검사하도록 다음과 같이 구현해 봤습니다. //인젝션 공격 막기 넘어오는 변수들 모두 검사 //GET while(list($fildn1,$fildv1) = each($_GET)) { if(eregi("--",$fildv1)) { echo ""; exit; } } //POST while(list($fildn2,$fildv2) = each($_POST)) { if(eregi("--",$fildv2)) { echo ""; exit; } } 일단 인젝션 공격에 대표적인 문.. 2009. 6. 17.
DB injection script 스크립트 공격 복구 및 보안 DB injection 공격? 구글에서 ''' ); FETCH NEXT FROM Table_Cursor INTO @T, @C; END; CLOSE Table_Cursor; DEALLOCATE Table_Cursor; '스크립트 부분은 삽입된 스크립트를 입력 5. 보안 적용 1 - MSSQL 메모리에서 위험한 sp들을 내린다. 보안상 위협이 될 수 있는 개체들에 대하여 일반 사용자 그룹의 사용권한을 제한한다. 참조: http://blahblah.springnote.com/pages/351077 SP 등록해제는 위험을 감안해야 하므로 메모리에서만 내린다. 단점, 재부팅되거나 DB 재시작시 다시 아래 쿼리 실행 할것! dbcc xp_cmdshell(free) dbcc xp_dirtree(free) dbcc x.. 2008. 11. 1.
SQL Injection 공격과 방어 방법 - php, asp 등 사용자 입력값이 SQL injection 발생시키지 않도록 수정 다수 사이트, SQL Injection 취약점 공격에 무방비 상태 웹 취약점을 이용한 공격이 식을 줄 모르고 있다. 공격의 목적은 게임정보 탈취와 궁극적으로는 이를 이용한 게임아이템 거래로 돈을 벌기 위한 것이다. 정보통신부와 KISA는 이에 대한 대책으로 중국에서 들어오는 IP들을 차단하고 있고 자금 여력이 없는 중소기업의 웹사이트 관리자에게 공개 웹방화벽 구축을 권유하고 있으며 개인 PC의 보안패치율을 높이기 위해 각종 캠패인을 벌이고 있다. KISA에서 운영하는 ‘보호나라’에서는 대국민 서비스로 원격 PC점검을 해주고 있고 대기업을 중심으로 보안솔루션 도입과 시스템 구축이 한창이다. 하지만 이러한 노력에도 불구하고 해킹 관제 서비스를 .. 2008. 11. 1.
ASP 해킹 방지 보안 방법(injection, cross site scripting...) 정리해서 올려야하는데..귀찮아서 일단 문서 일부분에서 발췌한것만 올린다. 참고로 이 보안관련 문서는 대외비라서 일부분만 올린것인데 이 문서에는 asp 뿐만 아니라 php, jsp 용도 있다. 혹 필요해서 요청하면...-_-;;;;; 0 then Check_Ext = "error" Exit Function end if next '허용할 확장자 체크 if avaext "" Then ok_file = split(avaext, ",") for each p in ok_file if instr(FileEndName, p)>0 then Check_Ext = "ok" Exit Function End If next End If Check_Ext = "error" End Function '다운로드 경로 체크 함수 '$dn.. 2008. 10. 8.