사례 : XSS 취약점이 보고된 사이트에서 취약점을 개선하고나서, 추가 취약점 가능성을 대비한 세션 쿠키 접근 제한 사례입니다.
목표 : XSS 공격 성공시에도 Javascript 에서 세션 쿠키에 접근할 수 없도록 하여, 피해를 최소화 합니다.
카테고리 보관물: PHP
비밀번호 해시 고도화 사례 (bcrypt)
사례 : PHP 5.5 이전 버전에서 운영중인 사이트에서 비밀번호 해시를 bcrypt 로 교체한 경험을 정리했습니다.
목표 : 최악의 경우 서버내 해시된 비밀번호 데이터가 유출되더라도, bcrypt 알고리즘을 적용하여 실제 비밀번호를 유추하기 어렵게 만듭니다.
PhpStorm의 git commit 취소
Undo commit
PhpStorm에서 드디어 마지막 커밋을 취소할 수 있는 Undo commit 기능이 추가되었습니다. (PhpStorm 2016.3)
복잡한 git 명령이 아닌, 클릭만으로 취소하여 되돌릴 수 있습니다.
여기서 더 막강한 것은 취소된 내용을 ChangeList 로 묶어 다시 커밋할 수 있다는 것이죠.
screwim 로 디비 접속 정보 암호화 하기
디비 접속 정보 암호화 하기
보안 강화을 위해, 디비 접속 정보 등이 담긴 설정 파일을 암호화하는 방법을 소개해드립니다.
물론 실제 동작시엔 실행단이나 메모리에서 해당 정보를 파악할 수 있어 완벽한 보안 기법은 아니지만, 하나의 보안 관문을 추가하는 정도라 생각하시면 됩니다.
테스트 환경
김정균님이 제작하신 screwim 확장 모듈을 사용해, 개발 서버에서 설정 파일을 암호화하여 운영 서버에 적용하는 과정을 살펴보겠습니다.
CentOS 6/7 + PHP 7.0 (remi repo) 환경을 기준으로 테스트하였으며, php79 stack을 사용중이신 분들은 PHP 7.0 이 설치된 상태에서 따라 해보시면 됩니다.
안전한 코딩 – 비밀번호, 보안 토큰 비교 방법
코딩시 비밀번호나 보안 토큰 등 중요한 값을 비교할 때, 사소한 코딩 습관이 보안 취약점을 예방할 수 있습니다.
바로 ‘일치 연산자(===)’와 ‘동등 연산자(==)’의 차이점을 알고, 가능한 ‘일치 연산자(===)’만 사용해야 합니다.
– 비밀번호 비교의 2가지 예제
– 잘못된 비교 방법의 문제
– 결론 – 안전한 코딩
워드프레스 고유주소 설정
워드프레스를 설치하고나서 브라우저 주소창에 보여지는 고유주소를 변경하는 과정입니다.
– 고유주소 설정
– 고유주소 설정 오류시, htaccess 설정 안내
워드프레스 설치하기
CentOS 서버에 워드프레스를 설치하는 과정입니다.
– 설치 환경 확인
– 워드프레스 다운로드
– 워드프레스 설치 : 서버 작업
– 워드프레스 설치 : 웹 작업
그누보드4 설치하기
앞서 셋팅된 CentOS 서버에 그누보드4를 설치하는 과정입니다.
– 설치 환경 확인
– 그누보드4 다운로드
– 그누보드4 설치 : 서버 작업
– 그누보드4 설치 : 웹 작업
CentOS6 에 APM 설치하기
새로운 PHP 설치 방법 안내
– 현재는 https://github.com/php79/stack 스크립트로 자동 설치하는 방법을 권장하고 있습니다.
– 본 문서는 2013년도에 작성된 CentOS 6 + Apache + PHP 5.3 + MySQL 조합으로 수동 설치하는 방법에 대해 다룹니다.
yum 으로 APM 패키지를 설치하고, 부팅시 자동 시작, 보안을 위한 설정을 다루겠습니다.
먼저 yum 으로 Apache + PHP + MySQL 패키지를 설치합니다.
yum install httpd mysql-server mysql php php-devel php-pear php-mysql php-mbstring php-gd
PHP 솔루션 운영 환경
PHP 솔루션 운영을 위한 PHP, MySQL 환경을 정리해보려고 합니다.
-. 게시판, 블로그, CMS
그누보드4 – http://sir.co.kr/
XE – http://www.xpressengine.com/
테크노트 – http://www.technote.co.kr/
킴스큐 – http://www.kimsq.com/
워드프레스 – http://ko.wordpress.org/
드루팔 – https://drupal.org/