오늘의 업무내용)_
- Xml출력에 관한 쿼리문 및 ASPX페이지 정리
- ASP.NET의 파일업로드 기능 탐색
- 업무 장애점
- Sql Injection을 통한 공격 시나리오와 방어수준 작성 -
Sql Injection을 통한 공격/방어 방법을 작성하기위해 예상 방법과 방어 수준을 생각해보았습니다.
기본 개념과 원리는 이곳을 잠고하였습니다.
http://mongtesque.egloos.com/338683
상정한 공격방법은 기초적으로 다음 3가지로 정의했습니다.
1. 주소창을 사용한 쿼리전달
2. 제공되는 TextBox를 활용한 쿼리전달
3. 제공되는 Update기능을 통한 편집한 페이지 구동을 통해 쿼리전달
이에 대응방법은 다음 으로 정의했습니다.
1. 주소를 통한 쿼리작동을 SQL단에서 막는다.
2. 제공되는 TextBox에 특정키 기입을 막으며 또한 전달되는 쿼리문 전달전 특수문자가 없는지 검사한 후 전달한다.
3. 제공되는 Update기능에 필요한 확장파일 외에는 첨부를 금하며 또한 업로드될 디렉토리는 사이트 디렉토와 분리하며 별도의 portnumber를 지정한다.
- Xml출력에 관한 쿼리문 및 ASPX페이지 정리 -
출력해야할 유사 Xml이 많아짐에 따라 분류, 기능적으로 통합이 가능한 쿼리문을 추려 자동화가 가능하도록 정리하였습니다.
자동화 기능에따라 쿼리의 검색 조건을 선택 할 수 있게 하기위하여 다음과같은 기능을 참조하여 적용하였습니다.
http://blog.danggun.net/1061
http://cafe.naver.com/webdeveloper/476
이때 여기에 검색 조건을 명시적 으로 좁혀 명시성, 편의성, 보안성을 높이기 위해 정해준 문자열을 비교방식으로 만들었습니다.
이때 문자열 비교기능을 이용하기위해 C#의 String 메소드를 찾아보니 아래의 주소에 CompareTo가 있었습니다.
http://blog.naver.com/tnt5642?Redirect=Log&logNo=20155713790
- ASP.NET의 파일업로드 기능 탐색 -
ASP.NET에서 파일업로드 기능을 구현하기 위해 다음을 참고하였습니다.
http://blog.naver.com/cambo95?Redirect=Log&logNo=100110487413
http://ssersew.tistory.com/21
이를 기반으로 확장자와 몇가지 편의 기능을 추가하여 마무리 해야겠습니다.
- 업무 장애점 -
이번 협업 프로젝트를 통해 부각된 문재점중 대화화 이해의 차의점을 크게 꼬집어 보는 바입니다.
실제로 같은 기능 같은 형태를 두고 서로 상이한 이해와 생각을 가진체로 작업하다 통합과 조율이 필요한순간 대화시
서로 다른이야기를 하는 경우가 비일비재하였으며 심지어 서로의 대화를 잘못 기억하는 경우가 잦았습니다.
이 문제는 2013/01/09에 실시한 DB설계 회의 때와 마찬가지로(http://rorolena.tistory.com/entry/20130109-1)
적극적 대화와 지속적 작업경험이 가장 큰 대안이지만 이와는 별도로 기획서나 계획서, 설계도 같은
별도의 문서작업이 어느정도 필요하다 생각됩니다.
'개발실 ◐ ━━ > 작업기록' 카테고리의 다른 글
| 2013/01/20 (주말잔업) (0) | 2013.01.20 |
|---|---|
| 2013/01/19 (주말잔업) (0) | 2013.01.20 |
| 2013/01/17 (0) | 2013.01.18 |
| 2013/01/16 (0) | 2013.01.18 |