개발 (3) 썸네일형 리스트형 [히스토리-3] 개발과 보안의 간극 그 해소에 대해 개발 스케줄이 타이트하게 이어지고 있고, 오픈된 서비스의 운영은 정신없이 계속되고 있었다. 그 어디에도 보안이라는 부분은 들어갈 곳이 없었다. 보안사고가 발생되어도 그것은 개발과는 관련 없는 별개의 영역이라 인식하는 것이 대부분이었다. 그렇다고 소스 레벨의 보안적인 이슈를 지적하는 것도 쉬운 일은 아니었고.. 2005년 무렵 서비스 회사에 들어온 이래 온라인을 통해 원인 제거 (보안패치), 현상 제거 ( 온라인 백신)를 실행하였지만 그렇다고 근본적인 문제가 해결된 것은 아니었다. 사용자들에게 감염되는 악성코드들은 더 이상 메일이나 수상한 파일을 통해서 감염되는 것도 아니였으며, 전체 인터넷을 대상으로 취약한 서비스에 접속하는 모든 사용자들은 즉시 감염에 노출되고 패치가 되어 있지 않다면 그 즉시 감염이 .. Sourceforge 등록 - 효과 있는 웹 스캐너 개발 참여 XSS : Cross site scripting - 현재 악성코드 설치 유형이 각 웹서버의 게시물에 대해 Cross site scripting을 이용하여 악성코드를 방문자에게 설치하는 유형이 매우 증가하고 있고 사용자의 쿠키를 외부로 빼내어가 인증 용도로 사용할 수 있는 문제점들이 있으므로 심화 진단하여 제거하는 것이 필요한 취약성 SQL Injection: 일반적인 SQL Injection이 아닌 URL 인자 단위마다 임의의 SQL command를 입력하여 데이터를 빼내어 가거나 DB 권한을 획득하여 정보를 유출 시킴.. 또한 획득한 DB 권한을 이용하여 웹서버의 소스코드를 직접 변경함. Type Error: 문자를 입력하지 않아야 될 곳에 문자가 입력되는 등의 Vb script error의 경우에도 .. Sourceforge 등록 - 효과 있는 웹 스캐너 개발 참여 XSS : Cross site scripting - 현재 악성코드 설치 유형이 각 웹서버의 게시물에 대해 Cross site scripting을 이용하여 악성코드를 방문자에게 설치하는 유형이 매우 증가하고 있고 사용자의 쿠키를 외부로 빼내어가 인증 용도로 사용할 수 있는 문제점들이 있으므로 심화 진단하여 제거하는 것이 필요한 취약성 SQL Injection: 일반적인 SQL Injection이 아닌 URL 인자 단위마다 임의의 SQL command를 입력하여 데이터를 빼내어 가거나 DB 권한을 획득하여 정보를 유출 시킴.. 또한 획득한 DB 권한을 이용하여 웹서버의 소스코드를 직접 변경함. Type Error: 문자를 입력하지 않아야 될 곳에 문자가 입력되는 등의 Vb script error의 경우에도 .. 이전 1 다음
