홈페이지제작칼럼

고객님의 홈페이지가 잘 운영되길 항상 기원합니다.
문의주시면 정성껏 안내 드리고, 방문을 원하시면 언제든 찾아뵙겠습니다.
PC홈페이지 제작 150만원 모바일웹제작 50만원 도메인호스팅1년무료

새로운글

법무법인 인본 - 기업법무,..
법무법인 인본 - 기업법무,지적재산권,부동산,형사 홈페이지 제작이 계약되었습니다. 로사이트를 ..
수주현황&제작완료04-28
법률사무소 지음 - 성범죄,..
법률사무소 지음 - 성범죄, 형사 홈페이지 제작이 계약되었습니다. 로사이트를 선택해주신 `이세..
수주현황&제작완료04-26
법무법인 나루 - 개인회생,..
법무법인 나루 - 개인회생, 개인파산 홈페이지 제작이 계약되었습니다. 로사이트를 선택해주신 `..
수주현황&제작완료04-03
홈페이지제작 전문회사 오..
  홈페이지제작 전문회사 `오마이사이트`를고양시 일산지역에서도 만날 수 있게 되었습니다!지하..
공지사항04-03
법률사무소 교연 - 회생파..
법률사무소 교연 - 회생파산 홈페이지 제작이 계약되었습니다. 로사이트를 선택해주신 `김동주 변..
수주현황&제작완료03-24
성범죄사건해결 공현Law - ..
성범죄사건해결 공현Law - 형사, 성범죄, 신상공개 홈페이지 제작이 계약되었습니다. 로사이트를 ..
수주현황&제작완료03-08
법무사 김달영 사무소 - 개..
법무사 김달영 사무소 - 개인회생,개인파산,법인회생파산 홈페이지 제작이 계약되었습니다. 로사..
수주현황&제작완료03-02
아이피즈국제특허법률사..
아이피즈국제특허법률사무소 홈페이지 제작이 계약되었습니다. 로사이트를 선택해주신 `아이피..
수주현황&제작완료02-27
법무사 정병화 사무소 - 회..
법무사 정병화 사무소 - 회원권분쟁 홈페이지 제작이 계약되었습니다. 로사이트를 선택해주신 `법무..
수주현황&제작완료02-14
법무법인 새날 - 민사,형사..
법무법인 새날 홈페이지 제작이 계약되었습니다. 로사이트를 선택해주신 `법무법인 새날 김종숙변호..
수주현황&제작완료02-13

보안성을 고려한 홈페이지제작을 위해 꼭 알아야 할 것들

SQL인젝션 필터링 여부 점검

SQL인젝션은 해킹이 성공할 경우 피해가 가장 심각한 공격방식입니다.
홈페이지 내부에 저장되어 있는 Database의 정보가 유출될 수도 있기 때문에 반드시 점검 해야 할 대상입니다.

해킹 시도 방법으로는,
흔히 로그인 할 때 입력하는 id나 패스워드에 따옴표와 = 과 같은 문자를 섞어 정상적인 쿼리로 인식되게 합니다.
이 경우 관리자로 로그인 될 수도 있고 인증된 쿼리에 따라 전체 정보가 유출될 수도 있습니다.

따라서 모든 사용자 입력 값을 체크 하여 비정상적인 입력을 필터링 해야 합니다.

XSS(Cross Site Scripting) 필터링 여부 점검

XSS (Cross Site Scripting) 도 반드시 점검해야 할 대상 입니다.
이 해킹이 성공할 경우 운영중인 홈페이지가 악성코드가 배포처가 되거나 피싱사이트로 이동시키는 데 약용될 수 있습니다.
특히 내 홈페이지에 악성코드가 심어지면 수 많은 2차 피해자가 생길수 있으니 꼭 점검해야 합니다.

해킹 시도 방법으로는,
게시물에 글을 쓸 때 iframe, script, embed, object 태그를 등록하는 방법이 있습니다.
위와 같은 태그를 악용하면 해당 게시물을 보는 방문객들이 악성 프로그램을 다운로드 받거나 금융사기 피싱사이트 등으로 강제 이동하게 될 수 있으므로 게시물을 입력할 때 각종 태그나 스크립트 실행 구문을 필터링 해야 합니다.

파일 업로드 취약점 점검

게시물에 파일을 첨부할 때 확장자를 점검하여 시스템 파일이 업로드 되지 않도록 해야 합니다.
시스템파일이란 .php 와 같은 웹프로그램 파일이며 악의 적인 실행이 코딩된 파일이 업로드 되면 홈페이지내의 모든 정보가 유출되거나 파기될 수 있습니다.

최근에는 png 파일과 같은 이미지파일에도 악성스크립트를 삽입하여 공격하는 패턴도 보이고 있으므로 꼭 필요한 최소한의 확장자만 허용해야 합니다.
아울러 파일이 업로드 되는 디렉토리는 실행 권한을 비활성화 시켜 두는것이 보다 안전합니다.

파일 다운로드 취약점 점검

홈페이지에는 첨부된 파일을 다운로드 하는 영역이 있습니다.
서버의 첨부파일을 다운로드 할 수 있도록 하는 프로그램에 ../ 와 같은 상대 경로 문자열을 입력함으로써 시스템 파일과 같은 중요 파일을 다운로드 하려는 공격 시도를 할 수 있습니다.

이와 같은 시도가 실행 되면 패스워드와 같은 중요한 정보가 유출 될 수 있습니다.
따라서 파일명을 입력받는 방식이외의 방법으로 다운로드 프로그램을 구현하는 것이 좋으며 불가피한 경우 정해진 경로에서만 다운로드 될 수 있도록 점검해야 합니다.

개인정보 보안 점검

최근 개인정보보호법이 강화됨에 따라 홈페이지상에서 개인정보가 노출되지 않도록 관리해야  합니다.
게시판에 작성된 정보중 개인정보는 블라인드 처리하여 노출되지 않도록 하여야 합니다.

이름, 각종 연락처, 접속IP주소 등과 같은 정보가 필요한 영역에서만 노출 될 수 있도록 하여야 하며,
주민등록번호나 패스워드와 같은 민감한 정보는 저장시 암호화키를 활용한 보안성 높은 방법으로 암호화 하여야 합니다.

지속적인 보안 패치 및 기반 프로그램 업데이트

저희는 각종 보안관련된 이슈가 새로 발견되면,
가장 빠르게 반영할 수 있도록 대응 해 드리며 무료 패치와 유료 최적화 작업을 해 드리고 있습니다.
또한 공공기관이나 금융기관에서 실시하는 보안성테스트 후에 발견되는 문제점에 대해 신속히 대응해 드리며,
차후 제작되는 홈페이지에 반영하여 보다 안전한 운영이 될 수 있도록 노력합니다.

이 밖에 보안관련된 자세한 내용은 아래의 문서를 다운로드 받아 참고하시기 바랍니다.

☞ KISA(인터넷진흥원) 보호나라의 홈페이지개발보안안내서바로가기

서버보안 및 SSL인증 보안서버 구축

웹프로그램 보안과 함께 서버측 보안이 필수 입니다.
서버 자체보안의 경우 서버 제공 업체가 보안 관련된 이슈에 얼마나 신속하게 대응하고 자주 패치하느냐에 따라 달려 있습니다. 따라서 인지도 높은 서버 제공업체를 선택하는 것도 매우 중요 합니다.
또한 SSL인증서를 통한 https 프로토콜을 사용할 수 있도록 설정하면 중요한 정보 전송시 암호화 되어 전송되므로, 보다 안심하고 홈페이지를 운영 할 수 있습니다.

(주)오마이사이트 이주한 대표
https://www.facebook.com/ohmysite
ceo@ohmysite.co.kr
홈페이지제작, '경험을 디자인 합니다'

0

추천하기

첨부파일 다운로드

등록자이주한

등록일2015-07-26

조회수6,747

  • 페이스북 공유
  • 트위터 공유
  • 밴드 공유
  • Google+ 공유
  • 인쇄하기
 
스팸방지코드 :