³ªÁß¿¡´Â ¿ø°Ý¿¡¼ PHP ÀÓÀÇ Äڵ带 ½ÇÇàÇÒ ¼öµµ ÀÖ¾î
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ÄÜÅÙÃ÷ °ü¸® ½Ã½ºÅÛÀÎ ¿öµåÇÁ·¹½º(WordPress)°¡ Ãë¾àÁ¡À» ÇÑ °³ ÆÐÄ¡Çß´Ù. ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì ÀÎÁõÀ» ¹ÞÁö ¾ÊÀº °ø°ÝÀÚ°¡ ¿ø°Ý¿¡¼ ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÏ°í, À¥»çÀÌÆ®¸¦ ¿ÏÀüÈ÷ Àå¾ÇÇÒ ¼ö ÀÖ°Ô µÈ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
ÀÌ Ãë¾àÁ¡Àº ¿öµåÇÁ·¹½º 5.1.1 ÀÌÀü ¹öÀüµé Áß ´ñ±Û ´Þ±â¸¦ È°¼ºÈ½ÃŲ °æ¿ì ¹ßµ¿ÇÒ ¼ö ÀÖ´Ù. ´ñ±ÛÀÌ ÇÊÅ͸µ µÇ°í µ¥ÀÌÅͺ£À̽º¿¡ ÀúÀåµÇ´Â °úÁ¤¿¡¼ ³ªÅ¸³ª´Â °ÍÀ̱⠶§¹®ÀÌ´Ù. ¾Û º¸¾È ¾÷üÀÎ ¸³½º Å×Å©³î·ÎÁö½º(RIPS Technologies)ÀÇ ½Ã¸ó ½ºÄ³³Ú(Simon Scannell)Àº ¡°»çÀÌÆ® °ü¸®ÀÚ¸¦ ƯÁ¤ µµ¸ÞÀÎÀ¸·Î Á¢¼ÓÇϵµ·Ï ²Ò¾î³»°í, CSRF¸¦ ¹è°æ¿¡¼ ÀͽºÇ÷ÎÀÕ Çϱ⠽ÃÀÛÇÏ¸é °ø°ÝÀ» ¼º°ø½Ãų ¼ö ÀÖ´Ù¡±°í ¼³¸íÇÑ´Ù. ¿©·¯ °³ÀÇ ³í¸® ¿À·ù¿Í ÇÊÅ͸µ ¿À·ù¸¦ ¿¬¼âÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ ÇÏ´Â ¹æ½ÄÀÇ °ø°Ý¹ýÀ̶ó°í µ¡ºÙÀ̱⵵ Çß´Ù.
¿öµåÇÁ·¹½º »ç¿ëÀÚµéÀÌ µðÆúÆ® ¼³Á¤À» ±×´ë·Î µÎ¾ú´Ù¸é ÀÌ °ø°Ý¿¡ ³ëÃâµÉ °¡´É¼ºÀÌ ³ô´Ù. ¿Ö³ÄÇÏ¸é µðÆúÆ® »ó ´ñ±ÛÀÌ Çã¿ëµÇ¾î Àֱ⠶§¹®ÀÌ´Ù. µû¶ó¼ ¸³½º Å×Å©³î·ÎÁö½º ÃøÀº ¡°¼ö¹é¸¸ °³ÀÇ À¥»çÀÌÆ®°¡ ÇöÀç À§ÇèÇÑ »óÅÂÀÏ °¡´É¼ºÀÌ ³ô´Ù¡±´Â ÀÇ°ßÀÌ´Ù.
½ºÄ³³Ú¿¡ ÀÇÇÏ¸é ¡°¹®Á¦ÀÇ ÇÙ½ÉÀº »ç¿ëÀÚ°¡ »õ·Î¿î ´ñ±ÛÀ» ÀÛ¼ºÇßÀ» ¶§ ÀÌ¿¡ ´ëÇÑ CSRF °Ë»ç¸¦ Á¦´ë·Î ÁøÇàÇÏÁö ¾Ê´Â´Ù´Â °Í¡±À̶ó°í ÇÑ´Ù. ÀÌ ±â´ÉÀÌ È°¼ºÈµÇ¾î ÀÖ´Ù¸é Æ®·¢¹é(trackback)À̳ª Çιé(pingback)°ú °°Àº ±â´ÉÀÌ Á¦´ë·Î ÀÛµ¿ÇÏÁö ¾Ê´Â´Ù. ¡°ÀÌ ºÎºÐÀ» ¾Ç¿ëÇÏ¸é °ø°ÝÀÚ°¡ °ü¸®ÀÚÀÇ À̸§À¸·Î ´ñ±ÛÀ» ´Þ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
±×·±µ¥ °ü¸®ÀÚ°¡ ´ñ±Û ¶õ¿¡ ÀÓÀÇÀÇ HTML ű׸¦ ÷°¡ÇÒ ±ÇÇÑÀÌ ÀÖ´Ù¸é, ÀÌ ¹®Á¦°¡ ÁõÆøµÈ´Ù. ¡°¿¹¸¦ µé¾î °ü¸®ÀÚ°¡ ½ºÅ©¸³Æ® ű׸¦ ºÙÀÏ ¼ö ÀÖ´Ù¸é, ÇØÄ¿°¡ °ü¸®ÀÚÀÇ À̸§À¸·Î ´ñ±Û¿¡ ½ºÅ©¸³Æ®¸¦ ¾÷·Îµå½Ãų ¼ö ÀÖ°Ô µË´Ï´Ù. À̷лó CSRF ³²¿ëÀ» ÅëÇØ ¾Ç¼º ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ½ÇÇà½Ãų ¼ö ÀÖ°Ô µÇ´Â °Ì´Ï´Ù.¡±
±×·¡¼ ¿öµåÇÁ·¹½º´Â °ü¸®ÀÚµéÀÌ ´ñ±Û Çʵ忡¼ »ç¿ëÇÒ ¼ö ÀÖ´Â ³Í½º¸¦ Ãß°¡·Î »ý¼ºÇØ ¹®Á¦¸¦ ÇØ°áÇÏ·Á Çß´Ù. °ü¸®ÀÚ°¡ ´ñ±ÛÀ» ³²±æ ¶§, ÀÌ ³Í½º±îÁöµµ ÇÔ²² Á¦ÃâÇØ¾ß ¡®°ü¸®ÀÚ ´ñ±Û¡¯ÀÌ ¼º°øÀûÀ¸·Î ÀԷµǵµ·Ï ¸»ÀÌ´Ù.
ÇÏÁö¸¸ ½ºÄ³³ÚÀº ¡°´ñ±Û°ú ÇÔ²² ¿Ã¹Ù¸¥ ³Í½º°¡ Á¦ÃâµÆÀ» ¶§, ´ñ±ÛÀÌ »ý¼ºµÇ±ä ÇÏÁö¸¸ ³»¿ë¿¡ ´ëÇÑ °Ë»ç °úÁ¤ÀÌ »ý·«µÆ´Ù¡±°í ¸»ÇÑ´Ù. ¡°¹Ý´ë·Î Á¦ÃâµÈ ³Í½º°¡ ¿Ã¹Ù¸£Áö ¾ÊÀ» ¶§µµ ´ñ±ÛÀÌ »ý¼ºµÇ±ä ÇÏÁö¸¸, ¿ÀÈ÷·Á ³»¿ë °Ë»ç°¡ ÀÌ·ïÁö´õ±º¿ä.¡±
ÀÌ´Â ³í¸®Àû ¿À·ù´Ù. ½ºÄ³³ÚÀº ¡°ÀÌ ¿À·ù ¿ª½Ã ¾Ç¿ëÇÒ ¼ö ÀÖ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°ÀϹÝÀûÀ¸·Î ´ñ±Û ¶õ¿¡ Çã¿ëµÇ´Â °Íº¸´Ù ÈξÀ ¸¹Àº HTML ű׳ª ¼Ó¼ºµéÀ» Áý¾î³ÖÀ» ¼ö ÀÖ°Ô µË´Ï´Ù. ÀÌ´Â ¿öµåÇÁ·¹½º ȯ°æ ³»¿¡¼ XSS °ø°ÝÀ¸·Î À̾îÁú ¼ö ÀÖ½À´Ï´Ù.¡±
½ºÄ³³Ú¿¡ ÀÇÇÏ¸é ¡°°ø°ÝÀÚ°¡ a¶ó´Â űװ¡ Æ÷ÇÔµÈ ´ñ±ÛÀ» ¸¸µé¾î XSS ÆäÀ̷ε带 À¥»çÀÌÆ®¿¡ ÁÖÀÔÇÒ ¼ö ÀÖ´Ù.¡± ±× ´ÙÀ½À¸·Î´Â °ü¸®ÀÚ¸¦ ¼ÓÀ̰ųª ²Ò¾î ±× ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ½ÇÇàÇϵµ·Ï Çϸé, °ø°ÝÀÌ ¿Ï¼ºµÈ´Ù. ¡°¼û°ÜÁø ¾ÆÀÌÇÁ·¹ÀÓ Å±×(iframe)¸¦ »ç¿ëÇÏ¸é °ü¸®ÀÚ°¡ ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ½ÇÇàÇϵµ·Ï ²Ò´Â °Ô ±×¸® ¾î·ÆÁö ¾Ê½À´Ï´Ù.¡±
¡°¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡Àº Á¤¸» ÀͽºÇ÷ÎÀÕÀÌ °£´ÜÇÕ´Ï´Ù. µðÆúÆ® »óÀ¸·Î ¿öµåÇÁ·¹½º´Â °ü¸®ÀÚ°¡ Á÷Á¢ .php ÆÄÀÏÀ» ÆíÁýÇÒ ¼ö ÀÖ°Ô ÇØÁÝ´Ï´Ù. »Ó¸¸ ¾Æ´Ï¶ó °ü¸®ÀÚ ´ë½Ãº¸µå·ÎºÎÅÍ Ç÷¯±×ÀÎÀÇ ÆíÁýµµ °¡´ÉÇÕ´Ï´Ù. °ø°ÝÀÚ°¡ PHP ¹éµµ¾î¸¦ À§ÀÇ ¹æ¹ýÀ¸·Î »ðÀÔÇϸé ÀÓÀÇÀÇ PHP ÄÚµå ½ÇÇàÀ» ¼º°ø½Ãų ¼ö ÀÖ½À´Ï´Ù.¡±
ÀÌ Ãë¾àÁ¡Àº ¿öµåÇÁ·¹½º¿¡ º¸°íµÆ°í, 5.1.1 ¹öÀüÀ» ÅëÇØ ÆÐÄ¡µÆ´Ù. ¿öµåÇÁ·¹½º »çÀÌÆ®¸¦ ¿î¿µÇÏ´Â °ü¸®ÀÚµéÀ̶ó¸é ½Ã±ÞÇÑ ÆÐÄ¡°¡ ±Ç°íµÈ´Ù. ´çÀå ÆÐÄ¡°¡ ¾î·Æ´Ù¸é ´ñ±Û ±â´ÉÀÌ¶óµµ Àá±×´Â °ÍÀÌ ÇÊ¿äÇÏ´Ù.
3ÁÙ ¿ä¾à
1. ¿öµåÇÁ·¹½º¿¡¼ Ä¡¸íÀûÀÎ Ãë¾àÁ¡ ¹ß°ßµÊ. À̸¦ ÅëÇØ ¿¬¼âÀûÀ¸·Î À¥»çÀÌÆ®¸¦ Àå¾ÇÇÏ´Â °Ô °¡´ÉÇÔ.
2. CSRF °ø°Ý°ú XSS °ø°ÝÀ» ¿¬¼âÀûÀ¸·Î ½Ç½ÃÇÔÀ¸·Î½á Á¾±¹¿£ ÀÓÀÇÀÇ PHP Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖÀ½.
3. 5.1.1 ¹öÀüÀ¸·Î ¾÷±×·¹À̵å Çϰųª ´ñ±Û ±â´ÉÀ» Àá±×´Â °Ô ÇÊ¿äÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>