본문 바로가기
Server Side Include ( SSI ) 란? Server Side Include ( SSI ) 란? ex) SSI 는 서버가 생성한 혹은 저장된 HTML 파일을 사용자에게 보내기 직전에 포함할 수 있는 변수값을 치환하는 것을 이야기한다. ( 자세히는 html 문서를 parsing 해서 특정 위치에 값을 대입하는 과정 ) SSI 문장들을 포함하고 있는 웹파일은 대게 관리자에 의해 .shtml 이라는 확장자가 붙여 정의된다. 보통 사용자의 요청을 환경변수로 저장하고 있다가, shtml 파일에서 SSI 명령을 만나면 그 안에 어떤 내용을 채우는 형식이 된다. SSI 문서는 다이나믹한 페이지를 만들 수 있다는 장점이 있지만, 파싱을 해야 하기 때문에 서버의 성능을 떨어뜨릴 수 있고, 보안 측면에서 익명 사용자가 nobody 권한으로 서버측 프로그램을 수행.. 2014. 3. 13.
[보안] 웹 해킹 원리와 방어. 보안, 웹 해킹 원리와 방어 방화벽, 백신을 설치해도 웹 해킹은 당한다!! - HTTP protocol 은 개방형이라 일반 방화벽에서 차단하지 않는다.- 방화벽에서 outgoing 패킷에 대한 제한이 대부분 설정되어 있지 않다.- 정상적인 웹 접속을 가장하는 경우 발견이 어렵다.- 백도어등의 프로그램도 백신의 패턴에 없다면 검출되지 않는다.- php, asp, jsp 등의 웹쉘을 이용하여 뚫을 수 있다.- swf, 이미지 파일 감염의 경우도 있다. 웹 해킹의 종류와 기법 1. Injecting Malicious DataURL 로 전송되는 중요한 데이터를 변조하여 오작동을 유발한다.- Hidden Field Manipulation : Hidden Field 를 통해 특정 값을 웹 어플리케이션으로 전달.- .. 2014. 1. 25.
반응형