플러스 내부 세미나를 했다.
발표 자료는 여기에..
http://xlos.plus.or.kr/seminar/SQL_Query_Vulnerability.ppt
오타나 문법적 오류는 그냥 넘어가기로 하고-_-;
이번 주에 내가 발표한 내용은 sql query의 취약점에 관한 내용이다.
Database 연동 프로그램을 디자인 할 때 흔히들 3 tier architecture, 즉 application client, application server, database 구조를 많이 쓰는데,
application client역할을 하는 웹브라우저가 application server 프로그램에 값을 넘길 때 문제가 발생할 수 있다는 시나리오다.
뭔 소린가 하면, 제로보드 같은 웹프로그램에서 로그인을 할 때 id입력 창에서 특수한 값을 집어 넣으면 그냥 관리자로 로그인이 되어 버린다는 말이다.
물론 서버 관리자가 php.ini에서 옵션 설정을 잘해놨을 경우는 생기지 않는 문제점이지만, 이러한 옵션 역시 너무 안정성 위주로 설정을 해 버리면 performance, 즉 성능에 문제가 생겨버린다.
즉, security냐, performance냐 각각의 경우에 따라서 trade off가 생기는 것이다.
각각의 경우에 따라서 옵션값을 바꿔서 설정해야 하는 관리자는 이래서 머리가 아프다. -_-;
So, I don't want to be a server administrator.
발표 자료는 여기에..
http://xlos.plus.or.kr/seminar/SQL_Query_Vulnerability.ppt
오타나 문법적 오류는 그냥 넘어가기로 하고-_-;
이번 주에 내가 발표한 내용은 sql query의 취약점에 관한 내용이다.
Database 연동 프로그램을 디자인 할 때 흔히들 3 tier architecture, 즉 application client, application server, database 구조를 많이 쓰는데,
application client역할을 하는 웹브라우저가 application server 프로그램에 값을 넘길 때 문제가 발생할 수 있다는 시나리오다.
뭔 소린가 하면, 제로보드 같은 웹프로그램에서 로그인을 할 때 id입력 창에서 특수한 값을 집어 넣으면 그냥 관리자로 로그인이 되어 버린다는 말이다.
물론 서버 관리자가 php.ini에서 옵션 설정을 잘해놨을 경우는 생기지 않는 문제점이지만, 이러한 옵션 역시 너무 안정성 위주로 설정을 해 버리면 performance, 즉 성능에 문제가 생겨버린다.
즉, security냐, performance냐 각각의 경우에 따라서 trade off가 생기는 것이다.
각각의 경우에 따라서 옵션값을 바꿔서 설정해야 하는 관리자는 이래서 머리가 아프다. -_-;
So, I don't want to be a server administrator.