안녕하세요.

현직 웹프로그레머 낭만냐옹 입니다.

제가 알고 있는 보안이슈와 해야할 것들에 대해 쓰겠습니다.

1. 보안이슈 사항들.

 - XSS 

 - SQL Injection

 - 파일 업로드

 - 파일 다운로드

 - CSRF

 - Coookie Sniffing

 - Cookie Spoofing

 - ID/PW

 - 주요정보 노출

 - 디렉토리 노출

 - URL 변조 및 강제접속

 - 관리자 페이지 추측

 - 백업파일 및 디폴트 페이지

2. 세부 내용

 - XSS

    글쓰기가 가능한 게시판에 스크립트 명령 실행 가능 여부

    제목, 댓글 등 글쓰기 입력란에 스크립트 명령 실행 가능 여부

    모든 입력값 검출 우외 스크립트 실행 가능 여부

    XSS 공격에 취약한 페이지 점검

    게시판, 글쓰기 입력란에 특수 문자 입력 값 검출 및 확인

 - SQL Injection

    로그인 페이지 SQL Injection 공격으로 권한 획득 또는 SQL 구문 에러 노출 아이디 존재 여부 확인이 가능한지 테스트

    SQL 쿼리 조작으로 에러 페이지 노출이 되는지 테스트

 - 파일 업로드

    파일업로드 페이지에 로그인 없이 업로드를 시도 할수 있는지

    파일업로드 확장자 검사 확인 하는지

    파일업로드 후 파일에 대한 절대경로가 노출 되는지

 - 파일 다운로드

    URL 강제 접속을 통해 비인가적인 방법으로 파일 다운로드가 되는지

    다운로드 된 파일의 개인정보 및 주요 정보가 노출 되는지

 - CSRF

    Cross Site Script 공격이 가능한지

 - Cookie Sniffing

    Cross Site Script 공격을 통해 쿠키 정보가 노출 되는지

 - ID/PW

    취약한 ID/PW 무차별 대입 공격으로 로그인이 되는지

    ID/PW 에러 페이지가 각각 존재하는지

    ID/PW 길이 값 제한 설정되 있는지

 - 주요정보노출

    데이타 송수신시 주요 정보가 암호화 되었는지 확인.

    소스코드상 주요정보가 노출 되는지 확인.

 - 디렉토리 노출

    URL 강제 접속을 통해 디렉토리를 리스팅 할수 있는지

    디렉토리 Traversal을 통해 주요파일 접근이 가능한지

    디렉토리 퍼미션 모두 점검

 - URL 변조 및 강제접속

    URL 파라메타 값을 변조하여 다른 페이지로 직접적인 접근이 가능한지

 - 관리자 페이지 추측

    추축 가능한 관리자 페이지로 접속하여 관리자페이지가 노출 되었는지 확인

 - 백업파일 및 디폴트 페이지

    백업파일이 웹서버에 상주 하는지

    어플리케이션 설치 시 기본적으로 설치되는 디폴트 페이지가 노출 되는지.

3. 건의 사항.

 - 지금바로 위사항들을 점검해 주세요.

 - 점검이 어려우시면 외부업체를 통해서 확인하세요.(보통 15여만원이면 점검 가능 합니다.)

 - 위에서부터 상위 보안 이슈 그 밑으로는 하위 점검 이슈 이지만 하위 점검 이슈라고 해도 무시하지 마시고 모두 처리 해주세요.

 - 특히 XSS 같은경우는 정말 심각합니다. 특히나 오유는 말이죠.

 - 보안을 더 올리고 더많이 필터를 하셔도 크게 문제 없을것 같습니다.

 - 예상 가능한 디렉토리 이름은 꼭 변경하세요.(예. admin upload borad insertdb 등등)

 - 에러페이지는 하나로 해주세요. 가끔 보이는 에러 문구들 어느 부분에서 에러가 난다는 문구들이 보입니다. 어떤에러든 에러페이지는

    한개면 충분 합니다. 한개로 통일 해 주세요.

 - 특수문자에 대해 관대하지 마세요. DB 에 들어가는 것들은 치환 하시거나 해서 저장하시고 나올때 다시 치환해 사용하시는 방법도 

    있습니다.

 - 톰켓을 쓰고 계시다면 서버에서 해석하기 전에 필터를 걸어서 모든 파라미터를 검사 하세요.

 - web 방화벽을 고려 하세요. 당연히 무용지물을 만들순 있지만 그것만으로도 바보머저리 크레커들은 뚫지 못합니다.

 - 프로시저를 사용하세요. DB 접속의 모든 권한을 통제 하시고. 만약 DB서버가 WEB서버와 같이 있다면 현시점으로 어서 분리 

    하세요.

 - DB는 내부망으로 돌리시고. WEB서버는 DB에서 프로시저를 통에 정규화된 내용만 가지고 올수 있도록 해두세요.

 - DB서버 암호와 웹서버 암호 그리고 모든 유저 퍼미션을 확인하시고 필요없는 유저는 삭제 필요하지 않는 퍼미션은 모두 제거 하세요.

 - 한달에 한번 정도는 점검이 필요하다고 봅니다 새벽반이 울겠지만 하루정도는 서버 점검을 통해 보안이슈들에 대해서 다시한번 점검

    하세요.

일단은 여기 까지 입니다.

제가 알고 있는 것들을 전부 쓰진 않았지만. 일단 이정도로 하겠습니다.

뭐 물론 바보 운영자 님이 이런걸 모르진 않을테지만.

그래도 혹시 모르셨던 것에 대해 혹시 점검을 어떻게 하는지 모르시는 것들 있으면

제게 메일 주세요. 좀더 자세하게 알려 드릴께요.

미리 점검하는게 다음 해킹에 대해 대비 할수 있어요.

오유에 힘이 되어 드리고 싶습니다.

프로그레머 분들 모두 일어나세요! 지금은 저희들이 필요한 때 입니다!