°­ÁÂ

HOME > °­ÁÂ >
°­ÁÂ| ¸®´ª½º ¹× ¿ÀǼҽº¿¡ °ü·ÃµÈ °­Á¸¦ º¸½Ç ¼ö ÀÖ½À´Ï´Ù.
 
À¥¼­¹ö±¸Ãà º¸¾ÈÁ¡°Ë°¡À̵å[5] - À¥ ÆÐŰÁö S/W °ü¸®
Á¶È¸ : 12,190  


Á¦ 6 Àå  À¥ ÆÐŰÁö S/W °ü¸®


Á¦1Àý »ç¿ë ÁßÀÎ À¥ ÆÐŰÁö S/W ÆÄ¾Ç
  ÇöÀç ȨÆäÀÌÁö ³»¿¡¼­ »ç¿ë ÁßÀÎ À¥ ÆÐŰÁö S/W¸¦ ÆÄ¾ÇÇϰí, ¸®½ºÆ®¸¦ ±¸ÃàÇÏ¿© °ü¸®ÇÑ´Ù.

  ƯÈ÷ °ø°³¿ë À¥ °Ô½ÃÆÇÀÇ °æ¿ì, ¼Ò½º°¡ °ø°³µÅ ÀÖ¾î Ãë¾àÁ¡ÀÌ ÀÚÁÖ ¹ßÇ¥µÇ°í ÀÖ°í ¶ÇÇÑ Ãë¾àÁ¡ ÆÐÄ¡°¡ ¹Ù·Î ÀÌ·ç¾îÁöÁö ¾Ê´Â °æ¿ì°¡ ÀÖÀ» ¼ö ÀÖ¾î, Áß¿äÇÑ À¥ ¼­¹ö¿¡¼­´Â °¡´ÉÇÑ »ç¿ëÀ» ÇÏÁö ¾Êµµ·Ï ÇÑ´Ù. Áß¿ä À¥ ¼­¹ö¿¡¼­ ºÎµæÀÌ ÇÏ°Ô °ø°³¿ë À¥ °Ô½ÃÆÇÀ» »ç¿ëÇÒ °æ¿ì¿¡´Â ÇÊÈ÷ À¥ ¹æÈ­º®À» Àû¿ë, ¿î¿µÇÏ¿©¾ß ÇÑ´Ù.


Á¦2Àý ÁÖ±âÀûÀÎ Ãë¾àÁ¡ ¹× ÆÐÄ¡ È®ÀÎ
  »ç¿ë ÁßÀÎ À¥ ÆÐŰÁö S/WÀÇ »õ·Î¿î Ãë¾àÁ¡ ¹ß°ß ¿©ºÎ ¹× ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇÑ ÆÐÄ¡¸¦ ÁÖ±âÀûÀ¸·Î ½Ç½ÃÇÏ¿©¾ß ÇÑ´Ù. ÁÖ¿ä º¸¾È »çÀÌÆ®¿Í º¸¾È ¸ÞÀϸµ ¸®½ºÆ®¸¦ ÀÌ¿ëÇØ ÁÖ¿ä ÃֽŠÃë¾àÁ¡À» È®ÀÎÇÏ¿© Ãë¾àÁ¡ ¹ßÇ¥ ¿©ºÎ¿Í ÇÔ²² ÆÐÄ¡¸¦ ÁøÇàÇϵµ·Ï ÇÑ´Ù.

  °¡. ÁÖ¿ä À¥ ÆÐŰÁö ¸®½ºÆ®
    - Á¦·Îº¸µå (http://www.nzeo.com)
    - Å×Å©³ëÆ® (http://www.technote.com)
    - phpBB (http://www.phpbb.com)

  ³ª. ÁÖ¿ä º¸¾È Ãë¾àÁ¡ ¹ßÇ¥ »çÀÌÆ®
    - Securityfocus (http://www.securityfocus.com)
    - Xfocus (http://xforce.iss.net/xforce/alerts/advisories)
    - Microsoft (http://www.microsoft.com/technet/security/advisory/default.mspx)
    - FrSIRT (http://www.frsirt.com/)
    - milw0rm (http://www.milw0rm.com/)

  ´Ù. ÁÖ¿ä º¸¾È°ü·Ã ¸ÞÀϸµ ¸®½ºÆ®
    - Securityfocus (http://www.securityfocus.com/archive)
    - Securiteam (http://www.securiteam.com/)


Á¦3Àý ÁÖ¿ä À¥ ÆÐŰÁö Ãë¾àÁ¡ ¸®½ºÆ®

1. Á¦·Îº¸µå
  Á¦·Îº¸µå´Â »ç¿ëÀÇ Æí¸®¼º°ú °ø°³ ÇÁ·Î±×·¥À¸·Î ÀÎÇØ °¡Àå ¸¹ÀÌ »ç¿ëµÇ°í ÀÖ´Â °Ô½ÃÆÇ ÇÁ·Î±×·¥ ÁßÀÇ ÇϳªÀÌ´Ù. ±¹³» À¥ È£½ºÆÃ ¾÷ü, ÇØ¿Ü µ¿Æ÷ »çÀÌÆ®, Áß±¹ »ç¿ëÀÚ µî ´Ù¼öÀÇ »çÀÌÆ®¿¡¼­ ¼³Ä¡, ¿î¿ë ÁßÀÌ´Ù. Áß±¹ÀÇ °æ¿ì Çѱ¹ IT ±â¼úÀ» ¸ð¹æÇÏ´Â °æÇâÀÌ ÀÖ¾î, ´ë¸¸ÀÇ Á¦·Îº¸µå »ç¿ëÀÚ Æ÷·³(http://czeo.com/) ±îÁö ±¸¼ºµÉ Á¤µµ·Î Æø³Ð°Ô »ç¿ë ÁßÀÌ´Ù.

  ÇöÀç, Á¦·Îº¸µå 5 ¹öÀüÀÌ °³¹ß Áß¿¡ ÀÖÀ¸¸ç, º°µµÀÇ È¨ÆäÀÌÁö¸¦ ÅëÇØ º£Å¸¹öÀüÀ» ´Ù¿î·Îµå, Å×½ºÆ® ÇØº¼ ¼ö ÀÖ´Ù.

    - Á¦·Îº¸µå °ø½Ä »çÀÌÆ® : http://www.nzeo.com
    - Á¦·Îº¸µå 5 ¹öÀü °ø½Ä »çÀÌÆ® : http://beta.zb5.zeroboard.com/

  °¡. ÃÖ±Ù ¹ßÇ¥µÈ º¸¾È Ãë¾àÁ¡ ³»¿ª
    ¡Ü 2004³â 12¿ù 20ÀÏ Ãë¾àÁ¡ ÆÐÄ¡(www.bugtraq.org¿¡ °Ô½ÃµÈ Ãë¾àÁ¡)
      - ÆÄÀÏ ³ëÃâ Ãë¾àÁ¡(´Ù¿î·Îµå Ãë¾àÁ¡)
        􀓋½Ã½ºÅÛ ³»ºÎ Áß¿ä ÆÄÀϵéÀÇ ³»ºÎ Á¤º¸¸¦ ³ëÃâ½ÃŲ´Ù.
      - ¿ÜºÎ ¼Ò½º ½ÇÇà Ãë¾àÁ¡(¿ø°Ý ÆÄÀÏ »ðÀÔ Ãë¾àÁ¡)
        􀓋include Ç׸ñÀÇ º¯¼ö¸¦ ¿ÜºÎ¿¡¼­ ¼³Á¤ÇÒ ¼ö ÀÖ¾î ¿ø°ÝÀÇ ÆÄÀÏÀ» ÂüÁ¶½ÃÄÑ ½Ã½ºÅÛÁ¤º¸¸¦ ÆÄ¾ÇÇϰí À¥ ¼­ºñ½º ±ÇÇÑÀ» ȹµæ ÇÒ ¼ö ÀÖ´Ù.

    ¡Ü 2005³â 1¿ù 13ÀÏ Ãë¾àÁ¡ ÆÐÄ¡(www.bugtraq.org¿¡ °Ô½ÃµÈ Ãë¾àÁ¡)
      - XSS Ãë¾àÁ¡
        􀓋¼­¹ö ¼³Á¤¿¡ µû¶ó¼­ $dir, $_zb_path º¯¼ö¸¦ ÀÌ¿ë, ¿ÜºÎ¿¡¼­ ÀÓÀÇÀÇ ½ºÅ©¸³Æ®¸¦ ½ÇÇàÇÏ´Â ¹®Á¦·Î½á preg_replace¿¡¼­ Á¤±Ô Ç¥Çö½ÄÀ» ÀÌ¿ëÇÒ ¶§ quotes¸¦ ÇÏÁö ¾Ê¾Æ ¹ß»ý

    ¡Ü 2005³â 4¿ù 4ÀÏ Ãë¾àÁ¡ ÆÐÄ¡ (4.1 pl7 ÆÐÄ¡)
      - ºñ¹Ð±ÛÀ» ÀÓÀÇ·Î ÀÐÀ» ¼ö ÀÖ´Â º¸¾È Ãë¾àÁ¡ µî
        ¡Ø °Ô½ÃÆÇ ¿î¿µ°ú °ü·Ã ÀÖ´Â Ãë¾àÁ¡À¸·Î ȨÆäÀÌÁö º¯Á¶¿Í´Â °ü·ÃÀÌ ¾ø´Â Ãë¾àÁ¡ÀÓ

    ¡Ü 2006³â 3¿ù 15ÀÏ Ãë¾àÁ¡ ÆÐÄ¡ (4.1 pl8 ÆÐÄ¡)
      - ÀÓÀÇÀÇ ½ºÅ©¸³Æ® ÆÄÀÏ ¾÷·Îµå °¡´É Ãë¾àÁ¡
        􀓋À̹ÌÁö ÆÄÀÏ ¾÷·Îµå ºÎºÐ¿¡¼­ ½ºÅ©¸³Æ® ÆÄÀÏÀ» ¾÷·Îµå ÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ ¼öÁ¤
      - SQL Injection Ãë¾àÁ¡ ÆÐÄ¡
      - XSS Ãë¾àÁ¡ ÆÐÄ¡

    ¡Ü 2006³â 12¿ù 3ÀÏ Ãë¾àÁ¡ ÆÐÄ¡
      - htaccess ÆÄÀÏ ¾÷·Îµå·Î ÀÎÇÑ Ãë¾àÁ¡
        􀓋À̹ÌÁö ÆÄÀÏ ¾÷·Îµå ºÎºÐ¿¡¼­ ½ºÅ©¸³Æ® ÆÄÀÏÀ» ¾÷·Îµå ÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ ¼öÁ¤


  ³ª. º¸¾È ´ëÃ¥
    ¡Ü ±âÁ¸ Á¦·Îº¸µå ÇÁ·Î±×·¥À» ÀϺΠ¼öÁ¤ÇÏ¿© »ç¿ëÇϰí ÀÖ´Â °æ¿ì
      - »õ·Î¿î ÆÐÄ¡¸¦ ¸ðµÎ ¼³Ä¡ÇÒ °æ¿ì, ¿î¿µ ÁßÀÎ °Ô½ÃÆÇÀÇ µ¿ÀÛ¿¡ ¹®Á¦°¡ ÀÖÀ» ¼ö ÀÖÀ¸¹Ç·Î ÆÐÄ¡¸¦ ¼³Ä¡ÇÏÁö ¾Ê°í,
      - ÇöÀç »ç¿ë ÁßÀÎ ¹öÀüÀ» È®ÀÎ ÈÄ, °¢ ÆÐÄ¡ ¹öÀüº° ¼öÁ¤³»¿ëÀ» È®ÀÎÇÏ¿© º¯°æÀÌ ÇÊ¿äÇÑ °³º° ÆÄÀÏÀÇ ¼Ò½º¸¦ ¼öÁ¤Çϰųª ºÎºÐ ÆÐÄ¡ ÆÄÀÏÀ» ¼³Ä¡ÇÑ´Ù.
      - Á¦·Îº¸µå ¹öÀü È®ÀÎ ¹æ¹ý
        http://www.ȨÆäÀÌÁö ÁÖ¼Ò/°Ô½ÃÆÇ µð·ºÅ丮¸í/license.txt
        ¿¹) http://www.nzeo.com/bbs/license.txt

    ¡Ü Á¦·Îº¸µå ÇÁ·Î±×·¥À» ¼öÁ¤ ¾øÀÌ ±×´ë·Î »ç¿ë ÁßÀÎ °æ¿ì,
      - °¡Àå ÃֽŹöÀüÀÇ ÆÐÄ¡¸¦ ¼³Ä¡ÇÑ´Ù (2007³â 2¿ù ÇöÀç, 4.1 pl8 ¹ßÇ¥ Áß).

    ¡Ü Á¦·Îº¸µå ÆÐÄ¡ ´Ù¿î·Îµå
      http://www.nzeo.com/bbs/zboard.php?id=cgi_download2

2. Å×Å©³ëÆ®

  - °ø½Ä »çÀÌÆ® : http://www.technote.co.kr/

  °¡. ÃÖ±Ù ¹ßÇ¥µÈ Ãë¾àÁ¡ ³»¿ª
    ¡Ü 2004³â 9¿ù 5ÀÏ ¹ßÇ¥ Ãë¾àÁ¡
      - Å×Å©³ëÆ® °Ô½ÃÆÇ¿¡ ÆÄÀÏ ´Ù¿î·Îµå ½Ã ÆÄÀÏ À̸§°ªÀ» ÀÌ¿ëÇÏ¿© ½Ã½ºÅÛ ¸í·É¾î¸¦ ½ÇÇà °¡´É

    ¡Ü Å×Å©³ëÆ® ÇÁ·Î±×·¥À» ¼öÁ¤ ¾øÀÌ ±×´ë·Î »ç¿ë ÁßÀÎ °æ¿ì,
      - °¡Àå ÃֽŹöÀüÀÇ ÆÐÄ¡¸¦ ¼³Ä¡ÇÑ´Ù (2007³â 2¿ù ÇöÀç, TECHNOTE 6.9P ¹ßÇ¥ Áß).

    ¡Ü Å×Å©³ëÆ® ÆÐÄ¡ ´Ù¿î·Îµå
      http://www.technote.co.kr/php/technote1/board.php?board=bug&command=skin_insert&exe=insert_down_69p

  ³ª. º¸¾È ´ëÃ¥

< print.cgi ¼öÁ¤ >
print.cgi ¼Ò½º¿¡¼­ 31¹øÂ° ¶óÀο¡ ÀÖ´Â &parse; ÇÔ¼öÀÇ ¹Ù·Î ¾Æ·¡ ¶óÀο¡ ¾Æ·¡ÀÇ Äڵ带
Ãß°¡ÇÑ´Ù.
&error_message¡®( ÆÄÀϸí È®ÀΡ¯) if($FORM¡®img¡¯=~/\;/);
&error_message¡®( ÆÄÀϸí È®ÀΡ¯) if($FORM¡®img¡¯=~/\%/);
&error_message¡®( ÆÄÀϸí È®ÀΡ¯) if($FORM¡®img¡¯=~/\|/);
< library/Lib-5.cgi ¼öÁ¤ >
library/Lib-5.cgi ù ¹øÂ° ¶óÀο¡ ¾Æ·¡ÀÇ Äڵ带 Ãß°¡ÇÑ´Ù.
&error_message¡®( ÆÄÀϸí È®ÀΡ¯) if($FORM¡®filename¡¯=~/\;/);
&error_message¡®( ÆÄÀϸí È®ÀΡ¯) if($FORM¡®filename¡¯=~/\%/);
&error_message¡®( ÆÄÀϸí È®ÀΡ¯) if($FORM¡®filename¡¯=~/\|/);

3. ±×´©º¸µå

  °¡. °ø½Ä »çÀÌÆ® : http://sir.co.kr/?doc=_gb.php

  ³ª. ÃÖ±Ù ¹ß°ßµÈ º¸¾È Ãë¾àÁ¡
    ¡Ü Ãë¾àÁ¡ 1 : ¿ÜºÎ PHP ¼Ò½º ½ÇÇà Ãë¾àÁ¡ (¹öÀü 3.40 ÀÌÇÏ)
      - include Ç׸ñÀÇ º¯¼ö¸¦ ¿ÜºÎ¿¡¼­ ¼³Á¤ÇÒ ¼ö ÀÖ¾î ¿ø°Ý¿¡ ÆÄÀÏ ÂüÁ¶½ÃÄÑ ½Ã½ºÅÛ Á¤º¸¸¦ ÆÄ¾ÇÇϰí À¥ ¼­ºñ½º ±ÇÇÑÀ» Å»ÃëÇÒ ¼ö ÀÖ´Ù.

    ¡Ü Ãë¾àÁ¡ 2 : Æû ¸ÞÀÏÀ» ÀÌ¿ëÇÑ ½ºÆÔ ¸ÞÀÏ ¹ß¼Û (¹öÀü 3.38 ÀÌÇÏ)
      - ½ºÆÔ¸ÞÀÏ ¹ß¼Û °¡´ÉÇÏ´Ù.

  ´Ù. º¸¾È ´ëÃ¥
    ¡Ü Ãë¾àÁ¡ 1 : ¿ÜºÎ PHP ¼Ò½º ½ÇÇà Ãë¾àÁ¡

index.php¿¡ ¾Æ·¡ ³»¿ë Ãß°¡
if (!$doc || ereg¡°( ://¡±, $doc))
$doc = ¡°./main.php¡±;

    ¡Ü Ãë¾àÁ¡ 2 : Æû¸ÞÀÏÀ» ÀÌ¿ëÇÑ ½ºÆÔ ¸ÞÀÏ ¹ß¼Û

formmail.php ³»¿¡ ´ÙÀ½ÀÇ ³»¿ë Ãß°¡
// ȸ¿ø¿¡°Ô ¸ÞÀÏÀ» º¸³»´Â °æ¿ì ¸ÞÀÏÀÌ °°ÀºÁö¸¦ °Ë»ç
if ($mb[mb_email] != $email)
echo ¡°¡±;
exit;
(3.38 ÀÌÇÏ ¹öÀü)
// ÀÌÀü Æû Àü¼ÛÀÌ °°Àº µµ¸ÞÀο¡¼­ ¿Â°ÍÀÌ ¾Æ´Ï¶ó¸é Â÷´Ü
if (!preg_match¡°( /^(http|https):\/\/$_SERVER[HTTP_HOST]/i¡±,
strtolower($_SERVER[HTTP_REFERER])))
echo ¡°¡±;
exit;

Ãâó :

[¿ø±Û¸µÅ©] : https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=1690


ÀÌ ±ÛÀ» Æ®À§ÅÍ·Î º¸³»±â ÀÌ ±ÛÀ» ÆäÀ̽ººÏÀ¸·Î º¸³»±â ÀÌ ±ÛÀ» ¹ÌÅõµ¥ÀÌ·Î º¸³»±â

 
krcert
ÀÎÅÍ³Ý Ä§ÇØ»ç°í´ëÀÀÁö¿ø¼¾ÅÍÀÇ
Çã¶ôÇÏ¿¡ º» »çÀÌÆ®¿¡¼­ pdf ÆÄÀÏ Çü½ÄÀ¸·Î ¹èÆ÷ µË´Ï´Ù.