CI 묻고 답하기

제목 CI 보안검수 질문 입니다.
카테고리 CI 2, 3
글쓴이 Peter 작성시각 2019/06/03 11:38:45
댓글 : 1 추천 : 0 스크랩 : 0 조회수 : 12639   RSS

안녕하세요.

모 업체의 사이트를 제작하게 되어 CI로 제작을 했습니다. (사전에 어떻게, 뭘 이용해라 이런 가이드는 없던 상태)

대기업 계열이다보니 모의 해킹 뿐만이 아니고 소스를 통채로 가져가서 보안검수를 한다고 하더군요.

약 일주일간의 보안검수가 끝나고 레포팅이 왔는데 조금 당황 스럽네요.

CI의 system 폴더의 php 파일 하나하나를 다 까서 어디가 취약하고 뭐가 취약하고 이런식의 레포팅이 왔습니다.

대게 다른 사이트 제작할때 모의 해킹 정도는 항상 하던거라 제가 만든 부분의 xss나 기타 관련 보안은 당연히 넣어서 진행을 했는데 이렇게 코어 부분까지 검수를 한 건 처음이라 당황스럽습니다.

혹시 이런 경우 겪어보신 분들 계실까요... 지금에서 코어를 건드리거나 하는 건 말도 안될거 같고... 어떻게든 풀어봐야 할텐데 말입니다.

(보안상으로 이렇게 코어 파일까지 접근해서 뭔가를 할 정도면 서버가 뚫린게 아닐까 합니다만...-_-;;)

 

 다음글 [Oracle DB] date 타입에 해당하는 날짜를 ... (2)
 이전글 로그인 할때 선택한 데이터베이스에 접근해서 아이디/비밀... (2)

댓글

변종원(웅파) / 2019/06/03 11:44:00 / 추천 0

처음부터 가이드를 안줘서 생긴 문제네요.

외국계 모 업체의 경우 소스단 하나하나까지 검수를 하며 개발전에 보안검수 교육을 따로 진행할 정도입니다.

ci로 개발을 해도 되나 자기네가 소스 전체를 봐야하기 때문에 보안검수 일정이 길어질 수 있다, 얼마나 걸릴지 장담 못한다(잔금을 언제줄지 모른다는 말과 동일) 하고 정 프레임워크를 쓰고 싶으면 자기네가 수정한 프레임워크를 쓰라고 해서 클래스로 진행했던 적이 있었습니다.

 

시스템 폴더를 웹접근이 안되는 곳으로 옮기시고 가이드 안해준 것과 적당히 타협하는 방법밖에 없을 것 같네요.