• Version
  • Download 253
  • File Size 3.26 MB
  • File Count 1
  • Create Date 2010년 1월 28일
  • Last Updated 2022년 9월 28일

홈페이지 개발 보안 안내서(2010.01)

 

홈페이지 개발 보안 안내서(2010.01)입니다.
업무에 참고하시기 바랍니다.

 


[개요]

ㅁ 추진배경

본 안내서에서는 최근 대부분의 홈페이지 관련 사고의 원인이 게시판 등 웹 어플리케이션 자체의 보안 취약점에 있으므로, 웹 어플리케이션의 보안대책을 중점적으로 다루고자 한다.

홈페이지는 단순한 홍보 목적뿐만 아니라 사이버공간에서 상거래를 위한 주요 수단으로 자리 매김하고 있고, 내부 DB와 연동되어 다수의 고객 정보를 보유하고 있다. 이러한 홈페이지의 변조는 피해기관에게 금전적인 손실을 야기 시킬 수 있을 뿐만 아니라 국가 위상까지 저하시킬 수 있다.

웹 어플리케이션 취약점을 이용한 사고의 주요 원인은 국내 공개 게시판인 제로보드 등 PHP 기반 어플리케이션의 보안 취약점과 Windows IIS 환경 하에 개발된 홈페이지에 존재하는 SQL Injection 취약점을 이용한 것으로 확인되고 있다. '04년 연말 이후 해외 주요 보안 사이트에 국내 웹 어플리케이션의 보안 취약점이 알려지면서 국외 해커들에 의한 국내 홈페이지 변조사고가 급속히 증가하였고, 특히, 최근에는 SQL Injection이라고 불리는 공격방법에 의해 많은 공격이 이루어지고 있다.

ㅁ 적용 대상

홈페이지 개발자

안내서를 활용하여 홈페이지 개발자가 자체적으로 웹 어플리케이션이나 웹 컨텐츠를 개발할 때 활용할 수 있으며, 홈페이지 운영자가 주요 공개 웹 어플리케이션의 취약점 정보를 파악함으로써 안전한 운영을 하는데도 활용할 수 있을 것이다.

 



[목차]

I. 개요

    1. 개요
    2. 정보보호를 고려한 홈페이지 구축의 필요성

II. 홈페이지 해킹 현황 및 사례

    1. 국내 홈페이지 해킹현황
    2. 국내 홈페이지 해킹사례

III. 홈페이지 개발시 보안 취약점 및 대책

    1. 접근통제 취약점
    2. 부적절한 파라미터
    3. 취약한 세션 관리(Cookie Injection)
    4. 악의적인 명령 시행(XSS)
    5. 버퍼 오버플로우
    6. 악의적인 명령어 주입 공격(SQL Injection)
    7. 업로드 취약점
    8. 다운로드 취약점
    9. 개발 보안 관리
    10. 부적절한 환경설정(서버 설정관련)

Ⅳ. 결론

참고문헌

<부록 1> 웹 보안관련 주요 사이트 리스트

<부록 2> 대규모 홈페이지 변조 예방을 위한 권고(안)

<부록 3> 개인정보의 기술적·관리적 보호조치 기준

표 목차

<표 2-1> 루트킷 환경설정 파일
<표 3-1> 설정별 제공되는 헤더 정보
<부록표 1> OS 벤더별 보안사이트
<부록표 2> 주요 보안관련 사이트
<부록표 3> 동적 컨텐츠 보안 사이트
<부록표 4> 아파치 웹 서버 보안 사이트
<부록표 5> IIS 웹 서버보안사이트

그림 목차

<그림 1-1> 정보시스템 개발 단계별 비용 절감 효과
<그림 2-1> ’06년 웹 서버별 악성코드 유포/경유 사고 분류
<그림 2-2> netstat를 이용한 백도어 포트 확인
<그림 2-3> 삭제된 백도어 프로그램 확인
<그림 2-4> 공격 프로그램에 의한 CPU점유
<그림 2-5> 변조된 홈페이지 화면
<그림 2-6> 미국 ebay사 위장 사이트(피싱 사이트)
<그림 2-7> E-mail을 통해 전달된 금융정보
<그림 3-1> 관리자 페이지 인증을 우회한 화면
<그림 3-2> IP 주소별 접근제한
<그림 3-3> Argument 변조를 통한 명령 실행
<그림 3-4> 제3자의 Cookie 정보 탈취
<그림 3-5> 사용자 입력 부분에 악성코드 삽입
<그림 3-6> 수집된 Cookie 인증 정보
<그림 3-7> 악의적인 SQL Query문 삽입
<그림 3-8> 게시판에 악성 스크립트 파일 업로드
<그림 3-9> 웹 서버 권한으로 시스템 명령어 실행
<그림 3-10> IIS 보안 설정
<그림 3-11> 상대경로를 이용한 시스템 설정파일 다운로드
<그림 3-12> .inc, .lib 확장자를 웹 사이트에서 처리하도록 설정
<그림 3-13> 백업 파일 노출로 인한 소스 코드 열람
<그림 3-14> 디렉토리 구조 노출
<그림 3-15> phpinfo 정보
<그림 3-16> 관리자 history 파일 내용
<그림 3-17> Error Message 숨기기

 


※ 해당 안내서는 KISA 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/)에서 확인할 수 있습니다.


Download
메뉴
error: 컨덴츠는 보호됩니다.