ModSecurity 에 대한 Stefan Esser 의 언급은 생각해볼 부분이 많다.
"There is a very funny posting at the modsecurity blog from yesterday that speaks a bit about the combination PHP and modsecurity. Basically the entry tries to excuse the fact that most of the modsecurity rules that are in use today to protect against known vulnerabilites can be bypassed easily by simple things like adding spaces infront of the variable name." (굵은 부분은 제가 의도적으로 굵게 표시한 것입니다).
웹 해킹 방어에 있어서 ModSecurity 가 가진 한계는
1. 알려진 해킹 공격을 막는다.
2. 패턴 매칭 방식을 사용한다.
는 점이다.
이는 패틴 매칭 방식의 안티바이러스가 가진 한계와 동일한데, 좀 더 지능적인 방법을 도입할 경우 속도 저하 문제가 있다. 웹 트랜잭션은 어떤 환경에서는 1 sec 의 속도 저하가 용납가능한 최대치인 경우가 있다.
참고 자료 : http://blog.php-security.org/archives/70-Modsecurity-vs.-PHP.html
-- 추가 --
1. 대부분의 웹 방화벽이 ModSecurity 와 유사한 문제를 가질 듯...
2. 그래도 상용 웹 방화벽보다 ModSecurity 가 더 유연하다.
"There is a very funny posting at the modsecurity blog from yesterday that speaks a bit about the combination PHP and modsecurity. Basically the entry tries to excuse the fact that most of the modsecurity rules that are in use today to protect against known vulnerabilites can be bypassed easily by simple things like adding spaces infront of the variable name." (굵은 부분은 제가 의도적으로 굵게 표시한 것입니다).
웹 해킹 방어에 있어서 ModSecurity 가 가진 한계는
1. 알려진 해킹 공격을 막는다.
2. 패턴 매칭 방식을 사용한다.
는 점이다.
이는 패틴 매칭 방식의 안티바이러스가 가진 한계와 동일한데, 좀 더 지능적인 방법을 도입할 경우 속도 저하 문제가 있다. 웹 트랜잭션은 어떤 환경에서는 1 sec 의 속도 저하가 용납가능한 최대치인 경우가 있다.
참고 자료 : http://blog.php-security.org/archives/70-Modsecurity-vs.-PHP.html
-- 추가 --
1. 대부분의 웹 방화벽이 ModSecurity 와 유사한 문제를 가질 듯...
2. 그래도 상용 웹 방화벽보다 ModSecurity 가 더 유연하다.
덧글
LEE 2007/03/05 13:05 # 삭제 답글
굵은 글씨가.. 뭐 짧은 영어실력이라 -_-;다양한 이름앞에 간단한 스페이스 공간을 넣는거처럼 modsecurity가 쉽게 취약해질수 있다는건가요?-_-;;
헐랭이 2007/03/05 15:43 # 답글
변수이름에 스페이스(키보드 스페이스 생각하시면 될 듯)를 집어넣는 간단한 방법으로도 보안을 우회할 수 있다는 거죠. 실제로는 좀 복잡하지만 단순화시켜 설명하면 "AAA" 라는 패턴을 잡아낸다면, " AAA" 라고 하면 된다는... 이제 국제화 시대라서 영어는 정말 잘 해야 하더군요. 화이또!