jjeong

httpwatch 라는 툴을 아마도 많은 분들이 사용 하실거라 생각 합니다.
그래서 이 툴을 이용한 초간단 검증 방법에 대해서 다 아는 내용 이지만 서도 올려 봅니다.
알아도 실수 하는 분들을 위해서.. ㅋㅋ

홈페이지 : http://www.httpwatch.com/
basic 은 무료 버전 이라는거 잘 아시죠..
HttpWatch Basic Edition - Version 6.1.36




위 화면은 실제 httpwatch 사이트에 대해서 돌려본 모습 입니다.

기본적으로 대부분의 서비스들은 alpha 에서 개발 테스트를 거치고 real 에 배포를 하게 됩니다.
뭐.. 회사에 따라서
alpha, beta, stage, real 이와 같이 단계를 더 두기도 하지요.

우찌 되었든 httpwatch 로 할 수 있는 작업은 참 많습니다.
사이트에 있는 feature 목록을 함 볼까요..

http://www.httpwatch.com/features.htm
Clickon a feature for more information:

자 너무 많은 것들이 있지요.. 
암튼.. 보면 쉽게 알수 있는건 
1. 링크가 잘못 되지은 않았는지 real 에 적용될 link 정보가 들어가야 하는데 alpha 링크가 그대로 노출 되지는 않는지 확인이 쉽게 가능 합니다.
2. 있어야 하는 이미지나 링크가 잘못 되지는 않았는지 이건 http status code 를 보면 됩니다. 404 나오거나 403 등이 나온다면 문제가 있는 거겠죠..  

아주 쉽고 기초적인 부분이지만 누구나 쉽게 놓칠수도 있는 부분이기에 기냥 포스팅 해 봅니다.

이제 막 시작하는 초보 웹개발자분들에게 도움이 될지는 모르겠으나.. ㅋ
1년차 후배들을 가르치기 위해서 한번 시작해 보자..

일반적인 게시판을 예로 들어서 진행 하겠습니다.

1. 글 작성
로그인 유무 체크
우선 페이지 글 작성 페이지 접근 시 쿠키 정보를 읽어서 로그인 여부 값을 할당
isLogin
loginValid
등의 변수로 임의 세팅 하겠죠.
값 세팅 또는 페이지를 다이나믹 하게 구분해서 보여 줄 수도 있구요.

if ( isLogin ) {
// 로그인 했을 때 보여줄 화면
} else {
// 로그인 하지 않았을 때 보여줄 화면
}

이제 글 포스팅으로 넘어 가 보죠.

ㄱ. 로그인 인증 쿠키 유효성 체크 (login check)
    ㄱ.1 captcha 라는 걸 이용해서 포스팅 시 유효성을 한번 더 확인 할 수도 있으나 좀 사용자들을 불편하게 하죠.
ㄴ. 사용자가 입력한 값 체크 (input validation check)
    ㄴ.1. input validation
    ㄴ.2. spam filtering
    ㄴ.3. sql injection
    ㄴ.4. xss
    ㄴ.5 기타 (보통 위에 4가지 정도를 많이 하죠..)
ㄷ. 글 등록

어째 로그인 사용자 쿠키 검증 이라 해놓고는 좀 포인트가 많이 벗어났내요.
암튼..
쿠키는 조작이 가능 하죠.
쉽게 얘기 해서 브라우저에 쿠키를 생성해 놓고.. input parameters 에 대해서 값을 조작해서 posting target url 로 변조된 값들을 넘기게 되면 해당 서비스 페이지에서 작성할 필요 없이 쉽게 포스팅을 할 수가 있습니다.
이건 아주 초보적인 거죠...

쿠키나 세션 기반의 인증을 사용하는 서비스들에 대해서는 참 취약한 부분이 아닐 수 없는데요.
우찌 되었건 어떤 비즈니스 로직이던 본인 유무 확인에 대해서는 확실히 검증을 하고 작성을 해야 한다를 꼭 기억 하셔야 합니다.

위에서 언급된 input validation, spam filter, sql injection, xss 등에 대해서는 따로 정리를 해보던가 하지요..
워낙에 많이 거론된 주제라서 제가 꼭 쓰지 않더라도 구글링만 잘 하면.. 다 나온다는.. ^^;

구글링

• CAPTCHA : http://www.google.com/search?q=captcha&rls=com.microsoft:ko:IE-SearchBox&ie=UTF-8&oe=UTF-8&sourceid=ie7&rlz=1I7GGIT_ko
• INPUT VALIDATION : http://www.google.com/search?hl=ko&rls=com.microsoft%3Ako%3AIE-SearchBox&rlz=1I7GGIT_ko&q=input+validation&lr=
• SPAM FILTER 는 구글링 하니까.. 웹서비스를 위한 내용이 바로 나오지는 않내요. 이건 제가 예전에 만들었던 플랫폼을 가지고 살짝 설명 드리기로 하지요.
• SQL INJECTION : http://www.google.com/search?hl=ko&rls=com.microsoft%3Ako%3AIE-SearchBox&rlz=1I7GGIT_ko&q=sql+injection&lr=
• XSS : http://www.google.com/search?hl=ko&rls=com.microsoft%3Ako%3AIE-SearchBox&rlz=1I7GGIT_ko&q=xss&lr=
  

아 정말.. 오늘 같아서는..
그냥.. 그만 두고 싶다..

지디넷 뉴스를 보니..

야후 CEO "검색부문 매각의사 있다"

MS, 유한회사 설립…야후와 손잡나?