[보안 해킹] 홈페이지 개발 보안 방안 - 운영체제 명령 실행 ■ 취약점 설명 - 적절한 검증절차를 거치지 않은 사용자 입력 값이 운영체제 명령어의 일부 또는 전부로 구성되어 실행되는 경우, 의도하지 않은 시스템 명령어가 실행되는 취약점 ■ 보안대책 ⑴ 웹 인터페이스를 통해 서버내부로 시스템 명령어를 전달시키지 않도록 웹 어플리케이션 구성 ⑵ 외부 입력에 따라 명령어를 생성하거나 선택이 필요한 경우, 명령어 생성에 필요한 값들을 미리 지정해 놓고 외부 입력에 따라 선택하여 사용 ■ 코드 예제 - 다음의 예제는 cmd.exe 명령어를 사용하여 rmanDB.bat 배치 명령어를 수행하며, 외부에서 전달되는 dir_type 값이 manDB.bat 의 인자값으로서 명령어 스트링의 생성에 사용될 수 있는 코딩 -..