G4 보안관련 제안입니다. 정보
제안 G4 보안관련 제안입니다.본문
해커의 목적은 웹보드에서 nobody shell 의 권한을 얻는것이 목적입니다.
제가 말하는것은 사회공학을 이용한 역공학입니다.
쉬운이야기로 해커가 생각하는것을 역으로 이용해서
그것을 하지 못하게 또는 유추하지 못하게 만드는 방법입니다.
웹상에 노출되어있으면서, 해커에게 노출되면 안되는 파일들은
사용자가 임의로 수정할수있게 만드는것이 좋습니다.
=> dbconfig.php ( 관리자님의 선수치신것 )
admin 디렉토리명 ( 이것역시 config.php에서 임의변수로 변경가능하게 수정했으면합니다.)
=> 디렉토리명은 사용자가 직접 변경 config.php안의 변수명도 직접 변경
(이럴경우 사용자마다 틀려지므로 거의 랜덤이라고 봐도 괜찮을꺼 같습니다.)
/**
* 어떤 언어이던지 변수의 스코프에대해서 민감합니다.
* 변수와 디렉토리와 파일이 많아진다는것은 그만큼 신경써야될 부분이 많아진다는 것을 뜻합니다.
* 체계적인 관리가 이루어지면 보다 효율적인 코드가 나오지 않을까 생각해봅니다.
**/
ps. 나중에 G4가 어느정도 진행이되면 sql 인젝션도 체크해야겠습니다.
관리자님 바쁘신데 계속 괴롭혀서 죄송합니다..
제가 말하는것은 사회공학을 이용한 역공학입니다.
쉬운이야기로 해커가 생각하는것을 역으로 이용해서
그것을 하지 못하게 또는 유추하지 못하게 만드는 방법입니다.
웹상에 노출되어있으면서, 해커에게 노출되면 안되는 파일들은
사용자가 임의로 수정할수있게 만드는것이 좋습니다.
=> dbconfig.php ( 관리자님의 선수치신것 )
admin 디렉토리명 ( 이것역시 config.php에서 임의변수로 변경가능하게 수정했으면합니다.)
=> 디렉토리명은 사용자가 직접 변경 config.php안의 변수명도 직접 변경
(이럴경우 사용자마다 틀려지므로 거의 랜덤이라고 봐도 괜찮을꺼 같습니다.)
/**
* 어떤 언어이던지 변수의 스코프에대해서 민감합니다.
* 변수와 디렉토리와 파일이 많아진다는것은 그만큼 신경써야될 부분이 많아진다는 것을 뜻합니다.
* 체계적인 관리가 이루어지면 보다 효율적인 코드가 나오지 않을까 생각해봅니다.
**/
ps. 나중에 G4가 어느정도 진행이되면 sql 인젝션도 체크해야겠습니다.
관리자님 바쁘신데 계속 괴롭혀서 죄송합니다..
댓글 전체
보안에 신경쓰시다 보니 점점 복잡하게 되는군요.
더 간략하게 되면서 보안은 각자 알아서 하면 안될까요?
예를 들어 젠드인코더 같은 프로그램을 각자 구해서 필요한 파일들을 인코딩 시킨다든지....
더 간략하게 되면서 보안은 각자 알아서 하면 안될까요?
예를 들어 젠드인코더 같은 프로그램을 각자 구해서 필요한 파일들을 인코딩 시킨다든지....
admin , bbs 는 따로 변수를 지정하려 생각중이었습니다.
개발에 참고하겠습니다.
말씀 주신 모든분들께 감사드립니다.
개발에 참고하겠습니다.
말씀 주신 모든분들께 감사드립니다.
덧붙여서...
일단 처음 설치할 때..
키값을 주어 암호화 한후 그값을 저장하고..
읽어올때는 다시 복호화하여.. 디비 접속하고..
이러면 보안쪽에서는 훨씬 좋겠죠..
당연히...
일단 처음 설치할 때..
키값을 주어 암호화 한후 그값을 저장하고..
읽어올때는 다시 복호화하여.. 디비 접속하고..
이러면 보안쪽에서는 훨씬 좋겠죠..
당연히...
진짜 바쁘실텐데...
그래두 덕분에 막강그누보드 유저라는 자부심을 느끼고 삽니다.
admin 님, 그리고 prosper 님께 감사.
그래두 덕분에 막강그누보드 유저라는 자부심을 느끼고 삽니다.
admin 님, 그리고 prosper 님께 감사.
ㅎㅎ
