상위로 이동
로그인
오마이사이트

홈페이지제작칼럼

보안성을 고려한 홈페이지제작을 위해 꼭 알아야 할 것들

SQL인젝션 필터링 여부 점검

SQL인젝션은 해킹이 성공할 경우 피해가 가장 심각한 공격방식입니다.
홈페이지 내부에 저장되어 있는 Database의 정보가 유출될 수도 있기 때문에 반드시 점검 해야 할 대상입니다.

해킹 시도 방법으로는,
흔히 로그인 할 때 입력하는 id나 패스워드에 따옴표와 = 과 같은 문자를 섞어 정상적인 쿼리로 인식되게 합니다.
이 경우 관리자로 로그인 될 수도 있고 인증된 쿼리에 따라 전체 정보가 유출될 수도 있습니다.

따라서 모든 사용자 입력 값을 체크 하여 비정상적인 입력을 필터링 해야 합니다.

XSS(Cross Site Scripting) 필터링 여부 점검

XSS (Cross Site Scripting) 도 반드시 점검해야 할 대상 입니다.
이 해킹이 성공할 경우 운영중인 홈페이지가 악성코드가 배포처가 되거나 피싱사이트로 이동시키는 데 약용될 수 있습니다.
특히 내 홈페이지에 악성코드가 심어지면 수 많은 2차 피해자가 생길수 있으니 꼭 점검해야 합니다.

해킹 시도 방법으로는,
게시물에 글을 쓸 때 iframe, script, embed, object 태그를 등록하는 방법이 있습니다.
위와 같은 태그를 악용하면 해당 게시물을 보는 방문객들이 악성 프로그램을 다운로드 받거나 금융사기 피싱사이트 등으로 강제 이동하게 될 수 있으므로 게시물을 입력할 때 각종 태그나 스크립트 실행 구문을 필터링 해야 합니다.

파일 업로드 취약점 점검

게시물에 파일을 첨부할 때 확장자를 점검하여 시스템 파일이 업로드 되지 않도록 해야 합니다.
시스템파일이란 .php 와 같은 웹프로그램 파일이며 악의 적인 실행이 코딩된 파일이 업로드 되면 홈페이지내의 모든 정보가 유출되거나 파기될 수 있습니다.

최근에는 png 파일과 같은 이미지파일에도 악성스크립트를 삽입하여 공격하는 패턴도 보이고 있으므로 꼭 필요한 최소한의 확장자만 허용해야 합니다.
아울러 파일이 업로드 되는 디렉토리는 실행 권한을 비활성화 시켜 두는것이 보다 안전합니다.

파일 다운로드 취약점 점검

홈페이지에는 첨부된 파일을 다운로드 하는 영역이 있습니다.
서버의 첨부파일을 다운로드 할 수 있도록 하는 프로그램에 ../ 와 같은 상대 경로 문자열을 입력함으로써 시스템 파일과 같은 중요 파일을 다운로드 하려는 공격 시도를 할 수 있습니다.

이와 같은 시도가 실행 되면 패스워드와 같은 중요한 정보가 유출 될 수 있습니다.
따라서 파일명을 입력받는 방식이외의 방법으로 다운로드 프로그램을 구현하는 것이 좋으며 불가피한 경우 정해진 경로에서만 다운로드 될 수 있도록 점검해야 합니다.

개인정보 보안 점검

최근 개인정보보호법이 강화됨에 따라 홈페이지상에서 개인정보가 노출되지 않도록 관리해야  합니다.
게시판에 작성된 정보중 개인정보는 블라인드 처리하여 노출되지 않도록 하여야 합니다.

이름, 각종 연락처, 접속IP주소 등과 같은 정보가 필요한 영역에서만 노출 될 수 있도록 하여야 하며,
주민등록번호나 패스워드와 같은 민감한 정보는 저장시 암호화키를 활용한 보안성 높은 방법으로 암호화 하여야 합니다.

지속적인 보안 패치 및 기반 프로그램 업데이트

저희는 각종 보안관련된 이슈가 새로 발견되면,
가장 빠르게 반영할 수 있도록 대응 해 드리며 무료 패치와 유료 최적화 작업을 해 드리고 있습니다.
또한 공공기관이나 금융기관에서 실시하는 보안성테스트 후에 발견되는 문제점에 대해 신속히 대응해 드리며,
차후 제작되는 홈페이지에 반영하여 보다 안전한 운영이 될 수 있도록 노력합니다.

이 밖에 보안관련된 자세한 내용은 아래의 문서를 다운로드 받아 참고하시기 바랍니다.

☞ KISA(인터넷진흥원) 보호나라의 홈페이지개발보안안내서바로가기

서버보안 및 SSL인증 보안서버 구축

웹프로그램 보안과 함께 서버측 보안이 필수 입니다.
서버 자체보안의 경우 서버 제공 업체가 보안 관련된 이슈에 얼마나 신속하게 대응하고 자주 패치하느냐에 따라 달려 있습니다. 따라서 인지도 높은 서버 제공업체를 선택하는 것도 매우 중요 합니다.
또한 SSL인증서를 통한 https 프로토콜을 사용할 수 있도록 설정하면 중요한 정보 전송시 암호화 되어 전송되므로, 보다 안심하고 홈페이지를 운영 할 수 있습니다.

공유하기
등록자

이주한

등록일
2015-07-26 17:57
조회
15,956

댓글 784

푸터01
기업은행
예금주 (주)오마이사이트
: 666-005600-04-011

대표전화 : 02-893-9111 | 팩스 : 050-5823-2322   |  이메일 : web@ohmysite.co.kr

(주)오마이사이트 | 대표 : 이주한 | 통신판매업신고번호 : 2011 서울금천 0703 | 사업자번호 : 119-86-24163 | 법인번호 : 110111-4239467

본사주소 : 서울시 금천구 가산디지털2로 101, 한라원앤원타워 231호
일산사무소 : 경기도 고양시 일산동구 중앙로 1189, 굿모닝법조타운2 8층 다온비즈센터 A7호 | 상담전화 : 070-7098-9908
대전사무소 : 대전광역시 대덕구 비래서로 81번길 17, 102호

(c) ohmysite.co.kr