I'm MK!: 소프트웨어 개발 노트 (~2009)

출처 : 서비의 다락방 ( http://www.yunsobi.com )

MS 비주얼 스튜디오 2008에는 기본적으로 WPF개발 환경이 포함되어 있지만 비주얼 스튜디오 2005환경에서 WPF 개발을 하기 위해선 몇 가지 프로그램을 추가 설치해야 합니다.

MS 비주얼 스튜디오 2005 개발환경에서 WPF(Windows Presentation Foundation) 개발 환경을 구축하기 위해 설치 해야 하는 프로그램의 일람을 정리해 둡니다.

우선 OS와 비주얼 스튜디오 2005까지 설치가 된 상태에서 시작하겠습니다.

1. Visual Studio 2005 SP1 설치 ( 다운로드 )
2. .Net Framework 3.5 설치(3.0 unInstall을 우선 수행 )  ( 다운로드 )
3. Windows SDK for Windows Vista 설치  ( 다운로드 )
4. Visual Studio 2005 Extensions for WPF and WCF 설치  ( 다운로드 )
5. Visual Studio 2005 Extensions for WWF 설치  ( 다운로드 )
6. (Option)Microsoft Expression Design 설치  ( 다운로드 )
7. (Option)Microsoft Expression Blend 설치  ( 다운로드 )
8. (Option)Microsoft Expression Web 설치  ( 다운로드 )
9. (Option)XmlNotepad 설치  ( 다운로드 )
10. (Option)WPF Performance Tool 설치  ( 다운로드 )

우리나라는 Google App Engine 계정을 받을 수가 없습니다.

계정을 얻기 위해서는 SMS를 통한 사용자 인증 과정이 필요합니다. 그런데, 우리나라 통신사는 제휴가 안되었는지 SMS를 받을 수가 없기 때문입니다. 여기서 참 당황스런 부분은 제가 보기엔 전 세계를 통털어 구글이 보내는 SMS를 받을 수 없는 나라는 우리나라 뿐인것 같습니다. 무슨 사정이 있는지는 모르겠지만 우리나라 통신사 들이 하는 행패를 보면 충분히 이해도 갑니다.

그래서 결국에는 일본에 사는 친구를 통해서 어렵게 계정을 등록했습니다.

실전! 개발자를 위한 Security 체크 포인트
⑧ 보안 점검 Check Sheet

작성자 : 김문규
최초 작성일 : 2008. 8. 12
* 본 포스트는 SDS e-campus의 '실전 개발자를 위한 Security 체크포인트' 강의 내용을 발췌하여 재구성한 개인적인 학습노트 입니다.

이번 포스트는 그동안 연재한 웹 서비스 시스템 개발 보안의 강좌의 마지막 입니다. 실제 구현 시 확인해야 할 체크 포인트 들입니다. 굉장히 많습니다. 귀찮습니다. 하지만, 보안은 누군가가 귀찮아야 하는 것이라는 것을 명심하시길 바랍니다.

1. 설계 단계
1) 접근 통제 정책 설계 시 핵심 Check Point
- Access 권한 설정 기준이 있는가?
- Access 권한 설정 기준은 "최소한의 권한 원칙(Least privilege)"을 적용하였는가?
- 동일 사용자 ID로 다른 PC에서 동시 로그온이 불가능 한가?
- 일정시간 미사용 시 자동 로그오프 되는가?
  (30분 이상 미사용 시 자동 로그오프를 권장하나 업무의 성격에 따라 변경가능)
- 무자격 사용자 ID(예. 퇴직, 전배, 6개월이상 미사용자)를 자동 제거 하는 프로세스가
  있는가?

2) 감사 정책 설계 시 핵심 Check Point
- 사용자별 접속내역 로깅을 기록관리하는가?
 (로깅항목: 사용자 ID, Login/Logout시간, 접속IP)
- 접속내역 로깅을 보관하고 있는가?
 (3개월 이상 보관 할 것을 권장하나 업무의 성격에 따라 변경 가능)
- 사용이력 로깅을 기록관리하는가?
 (로깅항목: 사용자ID, 사용시간, 사용이력-조회,수정,삭제, 프로그램ID)
- 사용이력 로깅을 보관하고 있는가?
 (3개월 이상 보관 할 것을 권장하나 업무의 성격에 따라 변경 가능)
- 로그온 시 보안경고 메시지 및 최종 사용정보를 표시하는가?
 (보안메시지- 시스템에서 하는 모든 활동이 모니터링 되고 있음을 알림,
 최종사용정보- 로그온 시 최종 사용시간, 접속IP를 표시)

3) 상세 설계 시 핵심 Check Point
- 입력값이 정확하게 들어오는지에 대한 검증이 이루어지고 모듈간 전달되는 파라미터값을 검증하도록 설계되어 있는가? 
- 입력값의 검증시 Client쪽만의 검증에 의존하지 않고 서버쪽의 검증도 수행하는 방식으로 설계하는가?
- 웹 어플리케이션 설계시 대표적인 입력공격(XSS, SQL injection공격 등) 등에 대한 대책이 설계되었는가?
- 다양한 사용자에 대한 어플리케이션 접근 위험이 분석되어 이에 따른 식별 및 인증 방안이 설계 되었는가?
- 강화된 인증이 요구되는 경우 생체인식이나 인증서 등의 강화된 인증 방식을 설계하였는가?
- 식별 및 인증을 통합 관리하는 방안이 설계 되었는가?
- 어플리케이션의 서비스 계정은 최소 권한 요구사항을 만족하는가?
- 일정기간 사용하지 않는 서버 계정은 사용 중지가 되도록 설계되는가?
- 인증의 문제발생시 계정을 즉시 Disable시킬 수 있도록 설계되어있는가?
- Client가 인증할 경우 암호화되지 않은 인증 값을 전달하지 않도록 설계되는가?
- 인증을 위하여 cookie를 사용하는 경우 cookie보호를 위한 암호화를 적용하는가?
- 어플리케이션이 강력한 패스워드를 강제하는가?
- 패스워드의 주기적인 변경, 실패 로그인 시도수를 제한하는가?
- 패스워드의 유출방지를 위해 패스워드가 암호화되어 저장되도록 설계되었는가?
- 인증 실패시 너무 많은 정보를 제공하지 않도록 설계하는가?
- 같은 사용자 계정으로 한명 이상이 로그인했을 경우를 허용하지 않도록 설계되었는가?
- 로그온이후 일정시간 동안의 사용이 없을 경우 자동 로그아웃되는 등이 설계에 반영되었는가?
- 허가를 위해 가능한 Role-based 접근방법을 사용하는가?
- Role을 사용할 경우 Role에 대한 적절한 권한 분리가 이루어지는가?
- 응용프로그램이 시스템레벨의 자원을 접근할 경우 꼭 필요한 것만 접근할 수 있도록 설계되었는가?
- 응용프로그램이 DB에 접근할 경우 직접적인 접근이 아닌 가능한 stored procedure를 사용하여 간접적으로 접근하도록 하는가?
- 일반사용자는 응용프로그램을 통하지 않고는 정보가 저장되어 있는 데이터베이스에 접근할 수 없도록 설계되었는가?
- 하나의 강력한 관리자 권한을 부여하지 않고, 개발자, 운영자, 시스템 관리자 등의 권한의 차별화를 고려하여 권한에 적합한 관리자 권한을 설정, 부여하는가?
- 응용프로그램의 기능사용을 통제하기 위한 메뉴 환경이 제공되는가?
- 응용프로그램의 구성설정 내용의 저장은 안전하게 저장되도록 하는가?
- 일정기간 동안 미사용시 사용자의 로그인 기능을 폐쇄하도록 설계하는가?
- 세션 identifier를 암호화되지 않은 채널로 전송하지 않도록 하는가?
- 세션 쿠키는 암호화하여 전송하는가?
- Query string내의 session identifier를 전달하지 않도록 설계하는가?
- Session lifetime은 제한하고 Session 상태를 안전하게 저장하도록 하는가?
- 동일 사용자의 동시 세션수를 제한하는가?
- 민감한 데이터의 저장시 암호화 등을 통하여 안전하게 저장하는가?
- 민감한 데이터의 네트워크상의 전송시 유출이나 변조에 보호되도록 암호화 등의 대책을 적용하는가?
- Cookie에 민감한 데이터를 저장하지 않도록 하는가?
- 민감한 데이터의 사용에 대한 로깅을 수행하는가?
- 암호화 적용시 개별적인 암호화를 사용하지 않고 증명된 암호화를 적용하는가?
- 암호화를 적용할 경우 적절한 키 사이즈와 정확한 알고리듬을 적용하는가?
- 암호화키를 안전하게 보관하도록 설계하는가?
- 암호화키가 주기적으로 변경될 수 있도록 하는가?
- 다음과 같은 주요 보안 로깅/감사를 위한 항목을 정의하고 로깅 메커니즘을 설계하였는가?
 : 실패 로그인/로그아웃
 : 인증정보의 변경
 : 특수 권한의 수행
 : 주요 Operation의 수행 등 
- 정보보호로그기록이 허가되지 않은 인력에 의해 삭제되거나 기능이 제거될 수 없도록 설계되었는가?
- 정보보호로그를 분석할 수 있도록 설계되었는가?
- 개발자, 운영자, 시스템 관리자 등의 권한의 차별화를 고려하여 관리자 권한을 부여하는가?
- 구조화된 예외처리를 사용하여 민감한 정보가 예기치 않게 누설되지 않도록  하고 있는가?
- Client에게 많은 정보를 누설하지 않도록 예외처리 메시지 집합을 정의 하는가?
- 사용 및 전송 데이터에 대한 무결성 요구가 있을 경우 무결성 요구에 대한 설계가 이루어졌는가?
- 메시지에 대한 부인방지 요구가 있을 경우 부인방지 요구에 대한 설계가 이루어졌는가?

4) 테스트 시나리오 작성 시 핵심 Check Point
- 테스트의 목적과 책임이 정의되었는가?
- 테스트의 범위, 가정, 제약조건, 상호연관성이 정의되었는가?
- 테스트 방법론 및 절차가 정의되었는가?
- 테스트 시나리오가 정의되었는가?
- 테스트 계획, 테스트를 위한 준비사항이 정의되었는가?
- 테스트를 위한 팀의 구성 및 책임과 역할이 정의되었는가?
- 테스트의 평가 기준이 정의되었는가?

2. 개발 단계
1) 개발 단계 Check Point
- 중간페이지를 비정상적으로 접근이 불가능 한가?
 (중간페이지까지 정상적으로 접속후 해당 URL book-marking후 다른 브라우저에서 중간페이지 접속 시도)
- Data를 조회할 때 URL에 표시되는 Key값을 변조하여 권한 밖의 정보 조회가 불가능한가?
- 중요정보(Password, Key값)가 쿠키, Get방식, Hidden 등에 매개변수 조작이 가능한 평문형태로 존재하지 않는가?
- 신뢰되지 않은 입력에 대해 유효성을 체크하는가?
- SQL Injection을 이용하여 인증을 통과하지 않는가?
- 불필요한 에러 메시지를 출력하여, 시스템 정보가 노출되지는 않는가?
- HTML 주석에 필요이상의 정보가 노출되어 있지는 않은가?
- 암호 구현시 공인된 알고리즘이 사용되고 키는 안전하게 저장되어 있는가?
- 사용자가 원격에서 실행 가능한 임의의 프로그램(PHP, ASP, JSP 등)을 업로드할 수 없도록 차단되었거나 실행되지 않도록 되어있는가?
- 사용자로부터 html tag 입력이 불가능하도록 되어있는가?

3. 구현 단계
1) 구현 단계 Check Point
- S/W의 기본취약점 및 디폴트 패스워드는 제거 되었는가?
- 기존에 운영중인 중요한 Data가 안전하게 전송, 생성, 폐기 되었는가?
- 시스템 릴리이즈전 보안담장자나 CERT요원에 의해 보안성 검토를 수행하고 이를 책임자에게 보고 하였는가?
- 설계서에서 제시된 정보보호 요구기능들이 구현되는가?
- 각종 정보보호시스템들이 구현되는가?
- 정보보호 관련 코드는 별도로 문서화하여 관리하는가?
- 구축 시 정보보호관련 설계변경 요구시 그 영향도와 위험을 평가하여 변경승인을 수행하는가?
- 승인된 설계변경 사항들을 추적하여 문서화하고 있는가?

2) 운영 단계 Check Point
- 시스템에 대한 이관 및 운영을 위한 운영관리 방안 및 계획이 수립되었는가?
- 정보시스템의 안전한 관리를 위하여 운영자들을 위한 설명서가 작성되었는가?
- 정보시스템의 안전한 이용을 위하여 사용자들을 위한 정보보호 설명서가 작성되었는가?
- 접근 권한관리가 적절히 이루어지고 있는가?
- 운영시스템에 대한 변경은 절차에 의해 이루어지고 기록 관리되고 있는가?
- 주기적으로 자체점검활동을 하고 그 결과를 보고하고 있는가?
- 점검결과가 문서화 되고, 주관 기관의 승인을 득하였는가?
- 점검 결과 정보보호 대책 및 기능이 적절히 작동하는지 평가되었는가?
- 취약성 분석을 수행하여 명시된 대책이 시스템의 알려진 취약성으로부터 충분히
 보호하는지 평가되었는가?

4. 맺음말
항상 마지막 포스트를 정리할 때는 뿌듯함이 느껴집니다. 마치 책거리를 하는 느낌입니다. 이번 포스트도 제가 부족한 부분인 보안을 공부하면서 시작했는데... 이렇게 길고 커질 줄은 몰랐습니다. 정리하다 보니 실을 포스트에 정리된 내용은 너무나 간단해서 실전에 적용할 것이 없다고 생각되네요.
하지만, 이런 기본들이 쌓여서 다음번 보안 교육때는 더 고급 과정을 이해할 수 있으리라고 기대합니다. 저와 같은 보안 초보 개발자들에게 한줄기 빛과 같은 강좌였길 바랍니다. ^^

그럼 이만! 쓩!

실전! 개발자를 위한 Security 체크 포인트
⑥ 암호화 기술

작성자 : 김문규
최초 작성일 : 2008. 8. 12
* 본 포스트는 SDS e-campus의 '실전 개발자를 위한 Security 체크포인트' 강의 내용을 발췌하여 재구성한 개인적인 학습노트 입니다.

이번 포스트에서는 굉장히 친숙한 보안 용어들에 대해 알아보려 합니다. SSL, 공인 인증, 대칭키, 비대칭키 암호화, PKI .... 정말 많이 들어 봤습니다. 하지만, 자세히 모르고 있는 경우가 많습니다. 이들이 대략적으로 무엇인지 알아보기로 하겠습니다.


1. SSL

1) SSL 이란?
미국의 Netscape사에 의해 개발된 SSL 프로토콜은 클라이언트와 서버 사이에서 오가는 데이터의 인증 및 암호화 통신을 위해 사용되는 프로토콜

2) 수행 단계

SSL이 수행되는 단계는 총 3가지로 분류된다.
 - SSL Server Authentication
사용자의 웹브라우저가 상대방의 웹서버를 인증하는 단계이다.
SSL을 지원하는 웹브라우저는 표준 공용키 암호화 기법을 사용하여 서버의 인증서와 공용 ID를 실제로 브라우져가 신뢰하는 인증기관(Trusted CA)으로부터 발급받았는지 여부를 인증하는 기능을 내장하고 있다.

 - SSL Client Authentication
웹서버가 자신에게 요청한 클라이언트를 인증하는 단계이다.
서버 인증 시에 사용했던 동일한 기법으로 인증하는데 서버에 내장된 SSL 지원 소프트웨어나 서버 앞에 배치된 SSL 하드웨어는 클라이언트의 인증서와 공용 ID 를 실제로 서버가 신뢰하는 인증기관(Trusted CA)으로부터 발급 받았는지 여부를 인증하는 기능을 내장하고 있다.

 - Encrypt Connection
서로에 대한 인증단계 이후 정상적으로 종결되면 클라이언트와 서버사이에 교환되는 모든 데이터는 사적인 내용을 보호하기 위한 암호화를 요구받는다. 또한 SSL커넥션을 통해 암호화된 데이터 역시 전송 중 변경을 방지(Message Integrity)하기 위해 Hash 알고리즘이라고 불리는 기술에 의해 보호된다.

위의 3가지 단계를 기반으로 실제로 구현되는 순서는 다음과 같으며, 다음 순서를 진행하기에 앞서 SSL 또한 TCP 프로토콜에 기반을 두고 있으므로 반드시 TCP 3 Handshake는 이루어져 있어만 한다.

3) SSL Handshaking

2) 공인 인증 과정

RA는 은행, CA는 금융 결제원에 해당됩니다. (이외에도 CA는 한국 증권 전산, 한국 전산원, 한국 정보 인증, 한국 전자 인증, KTNET이 있습니다.)

다음은 각 과정을 자세히 설명한 것입니다.

3. 암호화 알고리즘

1) 대칭키 암호화
대칭키 암호 알고리즘은 비밀키 암호 알고리즘 혹은 단일키 암호 알고리즘이라고 불리기도 하는데 이 방식은 송/수신자가 동일한 키에 의해 암호화 및 복호화 과정을 수행합니다.

 - 블록 암호 알고리즘
블록 암호 알고리즘은 고정된 크기의 입력 블록을 고정된 크기의 출력 블록으로 변경하는 암호알고리즘에 의해 암호화 및 복호화 과정을 수행합니다.
대표적인 알고리즘으로 DES(Data Encryption Standard), Triple DES, Skipjack, IDEA(International Data Encryption Algorithm), FEAL(Fast Data Encipherment Algorithm), MISTY 등이 있습니다.

 - 스트림 암호 알고리즘
스트림 암호 알고리즘은 이진화된(binary) 평문과 키 이진 수열을 배타적 논리합 (eXclusive-OR) 이라는 비트 단위 이진 연산으로 결합하여 암호문을 생성하는 방식입니다.
스트림 암호 알고리즘은 사용하는 스트림이 주기적인지 아닌지에 따라 두 가지로 분류 가능합니다.
키 스트림이 어떤 주기를 갖고 반복되는 경우에 사용하는 주기적 스트림 암호 알고리즘과, 키가 반복이 없는 경우에 사용하는 비주기적 스트림 암호 알고리즘이 있습니다.
대표적인 알고리즘으로는 RC4,SEAL(Software-optimized Encryption Algorithm)등이 있습니다.

2) 비대칭키 암호화
공개키 암호 알고리즘을 사용하는 시스템은 암복호화에 사용되는 Key Set을 다르게 생성, 배포 및 관리함으로 높은 수준의 보안 유지가 가능합니다.  공개키 암호 시스템은 두 개의 Key Set을 생성하여 그 중 하나를 공개하고 (Publickey), 나머지 하나는 비밀키로 자신이 보관하여 (Private Key) 사용하는 암호 시스템 방식입니다.

 - RSA 암호화
 - Rabin 암호화
 - Merkle-Hellman Knapsack 암호화
 - Graham-Shamir 암호화
 - McEliece 암호화, Elliptic Curve 암호화

3) 비교

4) Hybrid 방식 암호화
실제의 업무에 있어서는 대칭키 및 비대칭키방식을 혼용하여 사용하는 방식을 사용합니다.
전송하고자 하는 실제 Data는 대칭키방식을 이용하여 암호화하고, 이때 사용되는 대칭키는 PKI방식의 비대칭키를 이용하여 암호화를 한 후, 이를 전송하게 되는 방식입니다.
실제 데이터를 대칭키방식으로 암호화함으로써, 속도 및 길이의 효율성을 높이며 대칭키는 PKI방식을 이용함으로써, 키배포의 위험성을 없애고 보안을 강화할 수 있는 것입니다.

5) Hash
해쉬함수는 임의의 고정된 길이의 비트 문자열(해쉬코드)을 출력하는 함수로써, 다음과 같은 성질을 갖고 있습니다.
 -  출력된 해쉬코드에 대한 원본 비트 문자열을 찾아내는 것은 불가능
 -  주어진 입력에 대해 같은 해쉬코드를 생성하는 또 다른 입력값을 찾아내는 것은 불가능

이와 같은 성질을 이용하여, 해쉬함수는 전자서명의 무결성을 보장하는 데 많이 이용되고 있습니다. 또한, 비밀번호와 같이 복호화할 필요가 없는 자료의 단방향 암호화에도 사용되고 있습니다.

- Hash를 이용한 데이터 교환의 동작 순서는 아래와 같습니다.

송신자에서
① 송신하고자 하는 문자열의 해쉬코드를 구합니다.
② 구해진 해쉬코드에 비밀키로 서명을 합니다.
③ 평문과 ②의 데이타를 묶어서 수신자의 공개키로 암호화 합니다.

수신자에서
④ 자신의 개인키로 복호화합니다.
⑤ 풀려진 전자서명(해쉬코드+송신자의 비밀키) 값을 송신자의 공개키로 풀어서 해쉬코드를 구합니다.
⑥ ④에서 구한 평문을 해쉬함수를 적용하여 그 결과와 ⑤의 해쉬 코드를 비교하여 무결성을 검증합니다.

4. 맺음말
시작할 때 말씀드린 것처럼 본 포스트에서 다룬 내용은 엔지니어에게 아주 익숙한 보안 용어들입니다. 하지만, 막상 동작 과정을 설명해보라고 하면 쉽지 않은 것이 사실입니다.
저 역시 보안 관련 종사하는 엔지니어가 아니라서 마찬가지 였고 내용을 차근차근 학습하면서 '아 이런거구나'라면 혼잣말을 했습니다. 개인적으로는 정말 도움이 많이 되는 내용들이 었습니다.
기회가 되신 다면 더 깊은 내용을 확인하시는 것도 도움이 되시겠지만, 워낙 내용이 갑자기 어려워질 수 있으니 각오 단단히 하시길 바랍니다. ^^
그럼 이만...쓩!

실전! 개발자를 위한 Security 체크 포인트
③ 안전한 웹 서버 프로그래밍

작성자 : 김문규
최초 작성일 : 2008. 8. 6
* 본 포스트는 SDS e-campus의 '실전 개발자를 위한 Security 체크포인트' 강의 내용을 발췌하여 재구성한 개인적인 학습노트 입니다.

1. 안전한 웹 프로그램 작성 지침

1) 중간페이지가 바로 접속되어서는 안됩니다.
 - 보안이 필요한 모든 페이지에서 세션 검사

2) 중요 정보가 노출되어서는 안됩니다.
 - GET 방식으로 전송되는 모든 데이터는 암호화하여 변조 방지
 - Hidden 필드의 변조 방지
 - 참조 1의 매개 변수 값을 안전하게 보호하는 방법 참조

3) 중요(인증)정보는 평문형태의 Cookie를 사용하면 안됩니다.
 - 참조 1의 매개 변수 값을 안전하게 보호하는 방법 참조

4) 개발자가 아닌 사용자는 HTML tag 입력이 불가해야 합니다.
 - 만일 입력이 꼭 필요한 경우에는 공격의 소지가 없는 일부 태그만을 사용가능 하도록 제한합니다.

5) 사용자ID 및 패스워드는 암호화해서 전송해야합니다.
 - SSL 암호화 (128 bit 이상) 사용
 - ActiveX Control을 이용
 - 자바 스크립트로 구현할 경우에는 replay attack이 가능하지 않도록 주의합니다.

6) 중요한 HTML 소스는 암호화합니다.
 -

2. 맺음말
이번 장은 조금 더 자세한 수준으로 공부하게 된 것 같습니다. 제 생각에는 이 내용을 숙지하고 직접 간단한 예제를 작성해 보아야 하지 않을까 생각됩니다. 저도 일단은 apache를 깔고서 취약점을 공개한 코드랑 아닌 코드랑 비교해 보아야 겠습니다. 시간이 허한다면 이 내용도 추후에 추가토록 하겠습니다.
그럼! 이만!
 

참조 1. 매개 변수 값을 안전하게 보호하는 방법

1) 매개 변수의 암호화
hidden, cookie와 같은 매개변수를 클라이언트에서 서버로 전달할 때 대칭키 방식으로 암호화합니다. 키와 알고리즘은 노출되지 않도록 하고, 키는 Session별로 다르게 하여 (timestamp 등 활용) 동일한 접속이라고 하더라도 접속할 때마다 다르게 전송 합니다.

2) 매개 변수의 조작 여부 확인
또 한가지 방법은 매개변수의 조작여부를 체크하는 것입니다.
hidden, cookie에 변수 하나를 Check 값으로 저장해 (서버→클라이언트)로 내려 갔을 때와 (클라이언트→서버)로 돌아온 값들의 조작여부를 확인합니다. 이런 Check하는 변수에 md5, sha1과 같이 해쉬 알고리즘을 이용하여 체크하는 과정을 체크섬 이라고 합니다. (서버→클라이언트)로 갔던 체크 값과 (클라이언트→서버)로 올라왔을 때 체크 값이 일치하면 정상, 틀리면 변수값 조작이 있었던 것이므로 비정상 에러를 출력하는 것입니다.
예) <input type=hidden name=val1 value="7308022748398">
     <input type=hidden name=val2 value="아무개">
     <input type=hidden name=check
                                 value="q4837ksdafjgjsdg8345arfE78==">
이때 주의해야 할 것은 무슨 알고리즘을 사용하였는지 안다면 쉽게 Check 값도 조작이 가능하다는 것입니다. 그런 경우에 사용 가능한 것이 Salt를 활용하는 것입니다.
변수값1 + 변수값2 + "임의의 값"(Salt)     ->(해쉬 함수)   체크값
위와 같이 소금(Salt)을 쳐 놓으면 소금(Salt)은 서버프로그램에만 들어있기 때문에 체크값을 조작하기란 어려울 것입니다.

이해를 돕기위해 간단한 예제를 보겠습니다.

그림 3-1 : 텍스트입력란이 있는 cgi 프로그램

그림 3-1과 같이 텍스트을 입력받는란이 있어 여기에 사용자가 임의의 문자열을 입력한후 "전송하기"버튼을 누르면 사용자의 입력한 문자열을 웹페이지에 출력해주는 cgi 프로그램이 있다고 하면 결과는 다음과 같을것입니다.

그림 3-2 : 사용자가 입력한 문자열을 이용해 동적 HTML페이지를 생성한 결과

간단한 예제지만 이처럼 사용자가 입력한 문자열을 이용해 동적 HTML 출력하는 경우에 XSS취약점공격이 끼어들 가능성이 있는 페이지입니다. 그림 3-2를 웹브라우져의 "소스보기' 메뉴를 이용해서 HTML소스를 확인해보면 다음과 같습니다.

========================================================

<HTML>
<BODY> 
   메세지 : 안녕하세요 jakehong님!
</BODY>
</HTML>

========================================================

그럼 이번에는 그림3-1 화면에서 굵은폰트속성을 나타내는 HTML 태그를 사용하여 "안녕하세요 <B>jakehong</B>님!"이라고 입력해 본다면 결과가 어떻게 나올것 같나요? XSS취약점에 대한 대비가 안되어있는 cgi프로그램이라면 대부분 아래와 같이 "jakehong" 부분이 굵은 글씨로 출력된 페이지를 보게됩니다.

그림 3-3 : jakehong부분이 굵은폰트로 출력된 화면

이 화면의 HTML소스를 보면 다음과 같습니다.

========================================================

<HTML>
<BODY> 
   메세지 : 안녕하세요 <B>jakehong</B>님!
</BODY>
</HTML>

========================================================

사용자가 입력한 "안녕하세요 <B>jakehong</B>님!" 문자열을 입력한 그대로 출력하고자 한다면 "안녕하세요 &lt;B&gt;jakehong&lt;/B&gt;님!" 라고 출력해야 하지만 그 부분에 대한 처리를 해주지 않은것입니다.
그럼 이번에는 입력란에 "<SCRIPT>alert("까꿍!");</SCRIPT>"라고 입력해 보면 아래 그림과 같이 "까꿍!" 이라고 써진 다이얼로그박스가 나타납니다.

그림 3-4 : 입력란에 <SCRIPT>태그를 입력한 결과

HTML소스를 보면

========================================================

<HTML>
<BODY> 
   메세지 : <SCRIPT>alert("까꿍!");</SCRIPT>

</BODY>
</HTML>

========================================================

예상한대로 웹브라우져는 이 입력값을 스크립트라고 해석해 다이얼로그창을 보여줍니다. 예제에서는 단지 다이얼로그창을 띄운거지만 이 외에도 모든 script를  삽입하는것이 가능할 것입니다.
이처럼 웹페이지에 사용자가 임의의 script를 삽입시킬수 있는 문제가 있기 때문에 이를 XSS(Cross Site Scripting)라고 합니다.

예제는 자신이 입력한 스크립트를 자신이 실행하는것이지만 약간만 응용하면 다른사람에 의해 작성된 스크립트를 강제로 실행하게끔 하는것이 가능합니다.

그림 3-4에서 "확인"을 누른후 윈도우창 상단의 URL입력란을 보게되면

그림 3-5 : 그림 3-4 에서 "확인"을 누른후 URL란 확인

 

그림의 글씨가 좀 작아서 다시 쓰겠습니다.

====================================================================================

http://127.0.0.1:88/xss/text_r.asp?str=%3CSCRIPT%3Ealert%28%22%B1%EE%B2%E1%21%22%29%3B%3C%2FSCRIPT%3E

====================================================================================

이 URL encode 스트링(빨간글자)을 decode하면 이전 페이지에서 사용자가 입력한 <SCRIPT>alert("까꿍!");</SCRIPT>이란 글자가 됩니다.
즉, 이 cgi프로그램은 사용자가 입력한 문자열을 URL뒤에 인자로 추가하여 cgi프로그램에 전달되어 cgi프로그램이 이를 읽어 출력화면의 일부로 웹브라우져에 표시를 하는것입니다.

조금만 더 응용해 보겠습니다. 이번엔 XSS 취약점이 있는 웹싸이트에 다음과 같은 웹페이지를 하나 만듭니다.

===========================================================

<HTML>
<BODY bgcolor="black" link="white">
<A HREF='http://공격자사이트/text_r.asp?str=<script>alert("Merong~") ;</script>'>
여기를 클릭 </A>
</BODY>

</HTML>

===========================================================

그림 3-6 : 다른싸이트에 있는 script를 수행하는 예제

만일 사용자가 해커가 만들어논 이 페이지를 클릭하게 되면

=============================================================================

http://공격자싸이트/text_r.asp?str=<script>alert("Merong~") ;</script>

=============================================================================

해커가 사전에 만들어논 공격자싸이트의 cgi프로그램이 수행되면서 위에서 언급한 스크립트가 실행되는것입니다.

이처럼 공격대상싸이트에 공격자싸이트를 크로스(걸쳐서)시켜서 공격하기 때문에 XSS(Cross Site Scripting)이라고 합니다.