오랜만에 글씁니다. CSRF관련 정보
오랜만에 글씁니다. CSRF관련본문
CSRF관련해서 sir에서도 시끄러운가 보네요..
zbxe에서는 완벽하지는 않지만 0-day 시연 시 발표자와 연계하여 방어를 대비했었고,
현재는 어느정도? 방어된 상태입니다.
어짜피 zbxe도 gpl2 이므로 분석하셔도 좋을 것 같습니다.
보안의 중요성은 피부로 느끼기전에는 알지 못하는 것 같아 안타갑네요.
추천
1
1
댓글 7개
제로도 또 뚫립니다.
문제는.. 어떤 보안 대책을 세워도..
뚫을려고 작정하는 개인 내지 단체가 있는 한... 힘들다는거죠..
뚫는 이들은 돈이 되니깐 그 짓들을 하는가 봅니다. 어처구니 없게도..
지금은.. 피해의 최소화를 목표로 하는 수 밖에 없을 듯...
완벽은 존재하지 않으니...
그누도 발 빠른 대응을 해얄 듯 합니다.
운영진이 다 하긴 힘드니.. 고수님들 중심으로 제한적 프로젝트를 형성해야하지 않을까 싶네요.
문제는.. 어떤 보안 대책을 세워도..
뚫을려고 작정하는 개인 내지 단체가 있는 한... 힘들다는거죠..
뚫는 이들은 돈이 되니깐 그 짓들을 하는가 봅니다. 어처구니 없게도..
지금은.. 피해의 최소화를 목표로 하는 수 밖에 없을 듯...
완벽은 존재하지 않으니...
그누도 발 빠른 대응을 해얄 듯 합니다.
운영진이 다 하긴 힘드니.. 고수님들 중심으로 제한적 프로젝트를 형성해야하지 않을까 싶네요.
zbxe는 패치 개념이 아닌 개발시 보안설계로 들어갔던것입니다.
csrf 의 경우는 사회공학측면이 없지않아 있기때문에 100% 차단하기 어렵고, 논리적이 아닌 로직적으로 커버해야되는 측면이 있습니다.
아직까진 뚤린 사례는 보고 되지 않았던걸로 기억됩니다.
뚤리기 전에 미리 사전에 예방하고 있습니다.
csrf 의 경우는 사회공학측면이 없지않아 있기때문에 100% 차단하기 어렵고, 논리적이 아닌 로직적으로 커버해야되는 측면이 있습니다.
아직까진 뚤린 사례는 보고 되지 않았던걸로 기억됩니다.
뚤리기 전에 미리 사전에 예방하고 있습니다.
저는 cheditor 개발자께서 글쓰기 단계에서 어느정도 방어가 되게 수정해 준다고 해서 기다리는 중.
벌써 3~4년쯤 됬네요..
잘지내시죠? :)
잘지내시죠? :)
그누에서도 조만간 패치가 나오겠죠..
마치 바이러스 처럼
로직적으로 커버해야 된다면...
그야말로 뚫으려는자와 막으려는자의 끝없는 전쟁을 해야되는게 csrf인듯 -_-
나중에는 막으려측의 라이브러리가 수만줄을 넘어가는게 아닌가 몰겠네요..
마치 바이러스 처럼
로직적으로 커버해야 된다면...
그야말로 뚫으려는자와 막으려는자의 끝없는 전쟁을 해야되는게 csrf인듯 -_-
나중에는 막으려측의 라이브러리가 수만줄을 넘어가는게 아닌가 몰겠네요..
몇가지 테스트 해봤는데 
하네요;
하네요;
