1586,

33/80

sorucA

[자작] Defensing Web Vulnerabilities in Django

http://www.hackerschool.org/HS_Boards/zboard.php?desc=desc&no=1379 [복사]

저번시간에 Django에 대한 간략한 소개를 해드렸는데요
이번에는 Django 에서의 웹 취약점의 방어에 대해 말씀드리려고 합니다.

1. SQL Injection
앞에서 말씀드렸듯이 django는 sql query를 settings.py 에 설정된 DBMS에 맞게 자동생성해서 설정된 DBMS에 보냅니다.
아직 저도 자세히 살펴보지는 않았지만(앞으로 살펴볼 예정) 보안개념이 없는 django 개발자라 하더라도 직접 sql 쿼리를 작성하지 않는 이상 SQL Injection에 당할 일은 없습니다.
자동으로 생성하는 과정에서 모든 값들은 자동으로 escape 처리가 되어 문자열로 들어가고, 해당 table의 컬럼형을 검사하여 int 컬럼에는 integer값만 들어가게 처리가 돼 있습니다.
따라서 SQL Injection 공격을 할 수 없고 (앞으로의 과제겠죠 'ㅁ') SQL Injection를 방어하기위해 따로 어플리케이션단에서 뭔가를 작업할 필요가 없습니다.

2. XSS(Cross-Site Scripting)
SQL Injection은 자동으로 방어가 되지만 XSS는 자동으로 방어가 되지 않습니다.(script를 입력받을 필요가 있는 경우가 있기때문에) 사용자로부터 입력받은 값들을 HTML 검사를 통해 스크립트 코드를 제거하는 과정이 필요합니다.
하지만 django는 XSS 역시 가만히 놔두지는 않았습니다. django는 템플릿 필터라는 기능을 제공하는데, html로 넘어가는 변수들을 조작할 수 있습니다.
예를들어 테이블 board 에 컬럼 title 이 있다면, django에서는 저것을 출력할 때 {{board.title}} 로 출력을 합니다.
만약 필터를 적용하고싶다면 {{board.title|escape}} 만 해주면 됩니다 '-' 역시 매우 편하죠. 또한 출력값이 url 형태라면 {{board.homepage|urlencode}} 처럼 필터를 적용할 수 있습니다.

결론 : 결국 django는 보안면에서도 뛰어난 프레임워크라고 할 수 있겠습니다 ㅇ ㅅㅇ.

Hit : 6961 Date : 2010/02/04 07:20


sorucA	음 그리고 또 생각해보니 django가 url을 수동으로 매핑하기ㄸㅒ문에 주소와 폴더명이 일치하지 않습니다. 파일업로드 공격은 거의 불가능하네요. url을 dynamic 하게 매핑시키는 폴더에 업로드가 가능한 경우는 물론 되겠지만 그렇지 않다면 올려도 url에 접근이 불가능하네요	2010/02/04