일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- 주식
- 주식 청약 일정
- Eclipse
- 제이쿼리
- 공모주 청약
- Stock ipo
- 맥
- 공모주
- java
- 자바스크립트
- Oracle
- jquery
- 코드이그나이터
- 주식 청약
- MYSQL
- 7월 공모주 청약 일정
- php
- 리눅스
- 6월 공모주 청약 일정
- 자바
- SQL
- html
- JavaScript
- 오라클
- codeigniter
- IPO
- 공모주 청약 일정
- Stock
- linux
- css
- Today
- Total
개발자의 끄적끄적
[보안] 웹(Web) 보안 취약점 5가지 [펌] 본문
[보안] 웹(Web) 보안 취약점 5가지 [펌]
웹(Web) 보안 취약점 5가지를 기술하고 그에 대한 각각의 대책을 설명
1. 웹(Web)서비스
2. 웹구조
3. 웹보안
가. 웹보안 취약점 (OWASP-10 중 상위 5가지)
나. 웹보안 취약점에 대한 대책
4. 웹보안 기술 동향
1. 웹(Web)서비스
- TCP/IP 통신 프로토콜을 이용하는 인터넷 서비스중 가장 대표적인것이 웹 서비스임
- 홈페이지 해킹(웹 해킹)은 불법로그인, 게시판에 악성코드 삽입, 개인정보탈취 등 다양한 공격을 하고 있음
- 국제 웹보안 표준 기구에서는 매년 OWASP-10 (웹취약점 10가지)를 발표함
2. 웹구조
- 클라이언트는 웹서버에 홈페이지를 요청해 단순히 화면을 볼 수 있음
- 홈페이지에는 관리자 로그인, 사용자 로그인(사용자 DB관리), 사용자 게시판 파일등록 등등 다양한 기능을 할 수 있음
- 최근에는 웹서비스가 다양화 되어 해킹에 대한 이슈가 많아지고 있음
참조>
웹이 보안에 취약한 이유 1>
방화벽에서 조차 막지 못하는 HTTP 80 포트로 통한 악의적인 공격은 그대로 웹 서버에게 전달 된다.
즉, 허용 또는 오픈 된 포트로의 공격 시도가 문제 입니다
웹이 보안에 취약한 이유 2> 방화벽 , IDS, IPS 와 같은 보안 장비를 이용한 네트워크 계층에서의
보안으로는 어플리케이션 계층에 대한 공격을 차단할 수 없다.
http://www.devpia.com/Maeul/Contents/Detail.aspx?BoardID=6127&MAEULNO=769&no=28828&page=6
3. 웹보안
가. 웹보안 취약점 (OWASP-10 중 상위 5가지)
1) SQL Injection
- 서버에 특정 SQL문을 입력하여 데이터베이스에 접근, 회원정보 등을 유출할 수 있는 공격
http://smartsmpa.tistory.com/1775
2) 크로스사이트 스크립트 (XSS, Cross-Site Scripting)
- 악성스크립트가 삽입된 게시글 클릭을 유도하여 사용자의 정보를 탈취하는 방법
- 공격대상: 클라이언트 공격
http://smartsmpa.tistory.com/1775
3) 취약한 인증과 세션관리
- 인증과 세션관리와 연관된 어플리케이션 기능이 올바르게 구현되지 않아, 공격자로 하여금 다른 사용자로 가장하여 패스워드, 키, 세션, 토큰 체계를 위태롭게 하거나, 구현된 다른 결함들을 악용할 수 있도록 허용
4) 크로스사이트 변조요청 (CSRF, Cross Script Request Forgery)
- XSS와 비슷하지만 악성 스크립트가 삽입된 게시글을 클릭하게 되면 사용자가 의도하지 않은 행위, 즉 글쓰기가 된다던지 혹은 물품구매가 되도록하는 공격 방법
- 공격대상: 서버
- 게시판이나 웹 메일 등에 악의적인 스크립트를 삽입하여 비정상적인 페이지가 보이게해 타 사용자의 사용을 방해하거나 쿠키 및 기타 개인정보를 특정 사이트로 전송하는등의 문제
5) 불안한 암호화 저장
- 악의적인 공격자가 암호화되지 않은 데이타를 획득하여 명의 도용이나 신용카드 사기 등의
범죄를 저지를 수 있음
나. 웹보안 취약점에 대한 대책
1) SQL Injection
- ID, 패스워드란에 특수문자(따옴표, 공백 등)가 입력되니 않도록 소스코드를 수정
- 웹 소스코드가 수정 된 후에 다시 한 번 취약점 점검 검증작업을 실시
2) 크로스사이트 스크립트 (XSS)
- 스크립트 문장에 존재할 수 있는 < , > , ( , ) , # , & 등의 메타 문자를 다른 문자로
변환하거나 글 게재 시점에서 스크립트가 있는 경우에는 게재를 차단
3) 취약한 인증과 세션관리
- 강력한 인증 및 세션관리를 통해 단일 체계를 구축함
4) 크로스사이트 변조요청 (CSRF)
- 웹 어플리케이션 내에 XSS취약점이 없도록 확인함
5) 불안한 암호화 저장
- ID, 패스워드를 암호화 하여 저장함
6) 기술적, 물리적, 관리적 보호조치
기술적 보호조치 |
물리적 보호조치 |
관리적 보호조치 |
. 데이타베이스 암호화 . 소스코드의 시큐어 코딩 . 관리자 ID/패스워드 주기적 변경 & 패스워드는 10자리 이상 사용 |
. 웹 방화벽 . 외부접속시 SSL을 통한 접근 . 네트워크 취약점 최소화 |
. ISMS(Information Security Management System)를 통한 정보보호관리체계 인증 . PIMS(Personal Information Management System)를 통하 개인정보관리체계 인증 . 관리자 및 임직원의 주기적인 교육 |
- 웹 보안 솔루션을 각각의 계층에 맞게 정리하면 다음과 같음
https://www.pentasecurity.com/wp/?page_id=3499&pn=2&sn=3&sn2=3
4. 웹보안 기술 동향
- 정보 보안 기술에 있어 가장 중요한 레이어는 주고 받은 패킷 신호를 데이터 형태로 서로 변환하는 4계층 인’Transport’ 레이어, 그리고 사용자로부터 데이터를 입력 받고 또 출력함으로써 응용 서비스를 수행하는 7계층 ‘Application’ 레이어
- 방화벽과 IPS는 네트워크 레이어 중 4계층 ‘Transport’ 레이어에 해당하는 장비다
- 최근 보안 위협은 웹 애플리케이션 영역에 집중해 발생, L7 웹 애플리케이션 보안의 중요도가 높아지고 있음
- 웹 보안에 있어서 애플리케이션 보안이 가장 큰 비중을 차지하고 있지만, 기본적으로 네트워크와 시스템 보안의 안정성이 바탕이 되어야 웹 보안을 보장할 수 있음
출처: https://ensxoddl.tistory.com/254 [지금 이 순간]
'개발' 카테고리의 다른 글
[개발] 넥사크로 란? [펌] (0) | 2020.06.24 |
---|---|
[개발 / api] 인스타그램 API 연동하기 [펌] (0) | 2020.06.21 |
인스타그램 API – Instagram Graph API (Instagram API V2) 연동일지 [펌] (0) | 2020.06.19 |
[chrome] 크롬 개발자 도구 다루기 [펌] (0) | 2020.06.09 |
[개발참고] 암호화 해야 하는 정보와 저장하면 안 되는 정보 [펌] (0) | 2020.06.09 |