해킹 (7) 썸네일형 리스트형 PHP보안 - 간단하게 sql인젝션 방지하기 거의 없는 경우지만…. 'magic_quotes_gpc = Off' 의 문제는 다들 아실테니…. $_GET, $_POST에 대해서 일일이 addslashes() 해주기 귀찮아서 없는 실력으로 삽질했습니다. 개인 서버라면 .htaccess에 옵션으로 넣으시면 되겠지만, 호스팅의 경우 이게 필요합니다. ----------------------------------------------------------------------------------------- if ( get_magic_quotes_gpc() != 1 ) { $_GET = array_map('addslashes', $_GET); $_POST = array_map('addslashes', $_POST); } -------------------.. 자바스크립트 보안 자세히 들여다보기 웹 사이트들은 자바스크립트 덕분에 점점 더 대화형으로 발전하고 있지만 10년 정도된 자바스크립트의 사용으로 보안 이슈가 제기되고 있다. 자바스크립트는 웹 2.0 붐에서 주요한 역할을 하고 있다. 웹 2.0은 웹사이트의 영역을 넓혀가고 있으며 자바스크립트가 큰 역할을 하고 있기 때문이다. 그러나 악성 자바스크립트는 특히 웹사이트의 보안상 결함과 결합되어 웹기반 공격을 개시할 수 있다고 보안 전문가들은 경고한다. 자바스크립트와 이것이 왜 보안 위협이 될 수 있는지에 대한 질문에 답을 하는 과정에서 CNET 뉴스닷컴은 아래 항목들로 FAQ 를 만들었다. 자바스크립트는 무엇인가? ... Zdnet에서 전체 기사 보기 웹 2.0, 보안 위험 수위「빨간불」 최근 인터넷 기업에 있어 웹 2.0은 하나의 트렌드로 대형 포털들이 웹 2.0을 반영한 서비스 또는 홈페이지 개편 등을 하나 둘씩 선보이고 있다. 하지만 웹 2.0의 보안 위험 수위는 매우 높다는 것이 전문가들의 분석이다. 지난 18일, 다음커뮤니케이션은 사용자 중심의 UI(User Interface) 개편 및 개인화 서비스에 초점을 둔 초기화면을 새롭게 선보였다...... Zdnet에서 전체 기사 보기 fork()함수로 시스템 죽이기 c 언어에서 fork() 함수는 자신의 프로세스를 복사해서 자식프로세서를 생성해낸다. 하지만 수백개의 프로세서를 한번에 복사시키면 시스템은 그대로 죽고말게된다.. 간단한 fork() 함수 소스 일반사용자로 로그인해서 컴파일할수 있는권한만 있다면 아직도 유용한 공격방법입니다 [CODE] #include main(){ while(){ fork(); return (0); } } [/CODE] 출처 : http://chakani.net/ SQL Injection 기초부터 고급까지.. SQL Injection 에 대한 모든 내용을 담은 문서입니다. 목차1 개요1.1 SQL Query1.2 DML & DLL1.3 Metabata1.4 웹 어플리케이션1.5 일반적인 취약한 로그인 쿼리 2 SQL Injection 테스트 방법론1) 입력 값 검증2) 정보 수집3) 1=1 Attacks5) OS Interaction6) OS 명령 프롬프트7) 확장된 효과 3 회피 기술3.1 개요3.2 IDS “signature” 우회3.3 입력 값 검증 우회 하기3.4 회피와 우회 4 SQL Injection 대응 방안4.1 개요4.2 탐지 및 제한시키기4.3 결론※ 참조자료 및 문서 SQL Injection Summary 이 문서는 초보자들에게 많은 도움이 될것이다. SQL Injection 테크닉들을 통해서 문제를 해결 하려고 노력하고, 그것들을 성공적으로 이용하기를 원하고, 또한 그러한 공격으로보터 자신을 방어하고자 하는 …….. Details 1.0 Introduction =============== 서버가 단지 80포트만을 오픈하고 있을때, 당신의 믿음직한 취약점 스캐너는 유용한 정보를 잡아내지 못한다. 당신도 알다시피 관리자는 항상 서버를 패치한다. 우리는 웹해킹으로 관점을 돌려야 한다. SQL injection은 단지 80번 포트만을 필요로 하는 웹해킹의 방법중 한가지이다. 만일 관리자가 패치를 잘 하고 있을지라도 해킹은 잘 작동하게 될것이다. SQL injection 는 OS 상에서 웹서버나 서.. 해커가 되기 위한 30가지 1. 유닉스 기존의 대형 network는 대부분 유닉스를 기반으로 구성되어 있었으며 해커들은 여기서 자양분을 공급받았고 해킹을 해왔다. 그러므로 당연히 알아야 된다. 2. 리눅스 리눅스는 유닉스와 비슷한 형태의 운영체제로 PC 에서구동될 수 있도록만든 유닉스 비슷한 운영체제라고 보면된다. 명령도 거의 비슷하고 커널 구조도 거의 흡사해서 유닉스 사용자는 리눅스를 무리없이 쓸 수 있고 유닉스 해킹법은 리눅스에서도 거의 통한다. 3. 윈도우95/98/2000/NT/ME 요즘대부분의 개인 PC 사용자들이 윈도우시리즈에 바탕을 두고 있고 서버시장에서도 그 편리성에 힘입어 NT가 입지를 넓혀가고 있다. 그러므로 당근 알아야 된다. 4. HTML HTML은 웹 페이지를 구성하는 가장 기본이 되는 언어이며 초보자들이 .. 이전 1 다음