쁘띠코딩

Positive Security Model (whitelist) VS Negative Security Model(blacklist) 웹 방화벽 을 다루어 보았거나 보안 정책을 수립해 본 사람들이라면 누구나 positive rule과 negative rule에 대해서 들어 보았을 것이다. 보안 탐지 정책의 속성으로 이렇게 두 가지의 룰을 들 수 있는데, 오늘은 이 positive와 negative에 대해 간단히 설명해 보려 한다. "positive" 보안 모델(화이트리스트라고도 명명)은 허용될 룰들을 정의하고 다른 이외의 것들은 모두 차단하며 이는 "negative"(또는 블랙리스트) 보안 모델과 대조되는 성격을 가진 룰이라 할 수 있다. 블랙리스트는 차단할 룰을 정의하고, 나머지는 허용하는 성격의 룰이다..

CRLF Injection CRLF 는 Carrage Return(CR, ASCII 13, \r) Line Feed(LF, ASCII 10, \n) 을 나타낸다. 이 아스키 코드들은 화면에는 보이지 않지만 윈도우에서 라인의 끝을 알려주기 위해 흔히 사용된다. (리눅스/유닉스 시스템에서는 LF만 개행 문자로 사용한다.) CR과 LF의 조합은 키보드에서 "Enter"키를 눌렀을 때 나타나는데, "Enter" 키는 일반적으로 새로운 라인을 시작하라는 명령어로 알좋� 있다. (개행 문자 입력 키) CRLF Injection 공격은 해커가 시스템에 CRLF 명령을 날릴 때 발생한다. 이런 종류의 공격은 일반적인 운영 체제나 서버 소프트웨어에서 보안 홀이라기 보다는, 어떻게 웹 사이트를 개발하느냐에 따른 기술적인 ..