Plummmm♪

CWE(Common Weakness Enumeration) SANS와 미국방성 산하 MITRE 그리고 그 외 미국 및 유럽의 여러 소프트웨어 보안 전문가에 의해 CWE/SANS TOP 25 라는 이름으로 소프트웨어 개발자가 가장 범하기 쉬운 코드 취약점에 대해 발표된 것이다. 740여 가지의 다양한 언어에 대한 취약점을 권고하고 관리하고 있는 데이터베이스이다. OWASP TOP 10과 매우 흡사한 내용들을 담고 있지만, 오류 유형 별로 분류해 놓고 OWASP의 내용보다 좀더 구체적인 분류가 되어있다. http://cwe.mitre.org * 오류 유형 별 분류 3가지로 분류되며, [ ]의 숫자는 순위, CWE-??의 숫자는 ID(식별자)를 뜻한다. 순위는 확산된 정도, 중요성, 조정점수를 포함하여 해당 ..

기초적인 내용들을 대강 공부했으니, 이제 본격적으로 웹 취약점에 대한 공부를 해보자. 웹 취약점은 다른 취약점들과 다른점이, 저명한 기관들이 위험한 순서로 리스트화 시켜놓은 경우가 많다. 이곳 저곳 어디를 둘러보아도 웹 서비스가 활성화 되어있고, 80번 포트는 항상 열려있기 때문에 이에 따른 취약점이 화두가 되는 것은 당연한 일이라고 볼 수 있다. 먼저 언급한 '위험한 순서로 리스트화 되어 있는 취약점' 에 관해서 이야기를 좀 해보려고 한다. 웹 취약점 하면 가장 먼저 떠오르는 단어가 되어야 하는 OWASP 이다. The Open Web Application Security Project 의 약자로, 2010, 2013 그리고 향후에 웹 어플리케이션 취약점에 대한 위험도를 식별하여 A1 부터 A10 까지..

데이터 베이스?? 라는 말을 들어봤는지 모르겠다. 간단히 설명하자면, 우리가 필요한 데이터들을 아주 세밀하고 고도화된 구조로 집약시켜 수정, 검색 등이 용이하도록 만든 데이터의 집합체라고 보면 된다. 우리가 사용하는 웹 사이트들중 데이터 베이스를 사용하지 않는 곳은 단 한군데도 없다. 왜? 회원 정보 관리, 게시물 관리 등 이런 것들을 모두 데이터베이스에서 하기 때문이다. 데이터베이스는 종류가 어마어마하게 많지만, 우리가 자주 보고 공부할 것들은 3가지 가량으로 압축된다. MySQL, MSSQL, ORACLE 이정도가 되겠다. 위 세가지 같이 데이터 베이스를 관리하는 시스템을 데이터 베이스 관리 시스템(DBMS :Data Base Management System)이라 한다. 그럼. DB에 관한 설명은 이..

이번에는 쿠키와 세션에 대해서 알아보자. 먹는 쿠키가 아니다. ㅎㅎ 일단 먼저 쿠키란, 웹서버에서 클라이언트를 식별하기 위한 식별 코드라고 보면 되겠다. HTTP의 단방향성 때문에 이 멍청한... 웹서버가 클라이언트를 식별하지 못한다고 말했었다. 그래서! 쿠키가 나온 것이다. 클라이언트에 대한 정보를 저장하고 식별하는 기능으로 말이다. 먼저 그림을 보고 생각하자. 일단 쿠키는 클라이언트의 정보가 담긴 거라고 말했다. 근데 그걸 클라이언트 측에 저장한다. txt파일 형식으로. 쿠키가 저장하는 정보는 쉽게 말해, 우리가 로그인한 적이 있는 웹사이트에 다시 방문하였을 때, 내 계정을 기억하고 있거나, 인터넷 쇼핑몰에서 클릭한 적이 있는 상품을.. 쇼핑몰에 다시 방문했을 때 띄워주는 그런 것들을 말한다. 각 쿠..

이번에는 웹에서 사용되는 언어들에 대하여 알아보자. 인터넷 사용하다 보면 뭐 이것 저것 많이 들어보긴 했을 거임. html 이니.. 자바스크립트니.. 전혀 낯선 이름이 아닐꺼라고 생각함. 웹페이지는 일단 기본틀이 HTML(Hypertext Markup Language)이다. HTML은 솔직히 말하면 웹 프로그래밍 언어라고 말하기는 좀 그렇다. 우리가 보는 웹페이지 그자체가 HTML이니까, 웹서버 내부에서 무슨 언어로 뭐 어떻게 지지고 볶고 씹고 뜯고 맛보고 즐기든~ 결국 우리가 웹브라우저를 통해 눈으로 보는 것은 HTML이라는 말씀. 그럼 눈에 보이는 HTML로 웹 어플리케이션을 구성하면 되지 왜 다른 언어들을 사용하나??? 라는 의문을 가질 수 있다. 당연히, HTML로는 구현에 한계가 있으니 다른 언..