우선 onerror에 의한 xss가 먹는다 일부 문자열을 치환시켜 막으려고 하는것도 있긴한데 문자열 조합방식으로 우회가능하다.
sql injection에는 강한 내성을 가지고 있다 기본적으로 #이나 '같은 무자열은 모두다 공백치환해버린다.
또한 숫자가 들어가는 필드에는 숫자이외에는 들어가면 0으로 처리해버리는듯 하다.
CSRF에 대한 내성도 강하다
주요모듈은 반드시 수정버튼을 누르면 관리자 비밀번호를 묻는 시스템이다.
그렇다면 노출된 정보가 약하냐면 그것도 아니다
노출된 정보에서 크리티컬한건 *로 치환시키고 사용자의 패스워드를 찾는방식도 순전히 힌트에만 의존하며 아니면 관리자가 수정해주는방식이다.
기존에 있는 비밀번호를 불러주는 방식이 아님
기본적으로 단방향 암호화방식을 써서 인증에 필요한 암호들은 다 인코딩해버렸다
php자체의 crypto라는 함수를 쓰고 salt를 붙여서 암호화한다.
또한 소스를 zend라는 것을 사용하여 암호화했기때문에 소스에 기반한 공격방법을 찾기 힘들다.
뭐 이부분은 공개형과 오픈소스의 차이라고 봐야겠다
테크노트는 다른것과 다르게 공개형이긴 해도
오픈소스로 볼수는 없기떄문에..
공개형이라고는 하지만 한회사의 사업기반이므로 보안에 충실하게 되어 있다.
다만 XSS부분은 제로보드가 더 뛰어났다.
XSS 부분은 계속된 공격방법이 나오므로 어쩔수 없는 문제라고 생각한다.
또한 HML5가 나오면 좀더 많은 공격방법이 나올것이라고 예상되는데
보안관련된 사항을 주시하지 않거나 HTML5에 대해서 소홀히 하면 기존에 들인 노력이 허사가 될것이다.
