1 |
SQL Injection °ø°Ý |
URL ÀÎÀÚÀÇ ÆÄ¶ó¸ÞÅÍ °ËÁõ À¯¹«¸¦ È®ÀÎÇÕ´Ï´Ù. SQL InjectionÀÌ
°¡´ÉÇÑ ¸ðµç ÀÎÀÚ¸¦ ´ëÀÔÇÏ¿© Ãë¾àÁ¡ »óŸ¦ ¼Ò½ºÆÄÀϺ°·Î Á¡°ËÇÕ´Ï´Ù. ½ºÄ³³Ê´Â °ø°ÝÆÐÅÏ µ¥ÀÌÅͺ£À̽º·ÎºÎÅÍ ÆÄ¶ó¸ÞÅÍ¿Í
½ºÆ®¸µÀ» ´ëÀÔ½ÃÄÑ ¸®ÅϰªÀÇ »óÅ¿¡ µû¶ó¼ °ø°Ý°¡´ÉÇÑÁö
ÆÇ´ÜÇÑ´Ù. |
|
2 |
XSS(Cross Site Script) °ø°Ý |
XSS °ø°Ý¿¡ ÀÇÇØ °Ô½ÃÆÇ¿¡ ¾Ç¼º½ºÅ©¸³Æ®¸¦ »ðÀÔ µÉ¼ö ÀÖ´ÂÁö¸¦
Á¡°ËÇÕ´Ï´Ù. °ø°Ý °¡´ÉÇÑ ¼Ò½º¸¦ ºÐ¼®ÇÏ°í ´ëÀÔÇÏ¿© ¹®Á¦Á¡ ÆÄ¾Ç
ÇÕ´Ï´Ù. ¶ÇÇÑ, ½ºÅ©¸³Æ®ÀÇ ½ÇÇà°¡´É À¯¹«µµ Á¡°ËÇÏ¿© ·¹Æ÷ÆÃÀÌ
°¡´ÉÇÕ´Ï´Ù. |
|
3 |
ÀԷ°ª °ËÁõ ¹®Á¦ |
URL, Äõ¸®, Çì´õ, Äí۰ª Àü¼Û½Ã µ¥ÀÌÅ͸¦ °¡·Îä ½Ã½ºÅÛ¿¡
ÇÇÇØ¸¦ ÀÔÈú¼ö ÀÖ´ÂÁö¸¦ °ËÁõÇÕ´Ï´Ù. À¥¿¡¼ ÀԷ°ªÀÌ µ¥ÀÌÅͰªÀ»
¼¹ö·Î ³Ñ±â´Â ¹æ¹ýÀº ´Ù¾çÇØ¼ ¼Ò½º¿¡¼ »ç¿ëÇÏ´Â ÀԷ°ªÀÇ
°ËÁõÀº ¸Å¿ì ÇʼöÀûÀÔ´Ï´Ù. ÀÌ·¯ÇÑ ÀԷ°ªÀÌ °ËÁõÀÌ µÇ´Â°¡¸¦
È®ÀÎÇÕ´Ï´Ù. |
|
4 |
Ãë¾àÇÑ Á¢±Ù ÅëÁ¦ |
À¥ °ü¸®ÀÚÀÇ Á¢±ÙÀ» Çã¿ëÇÏ´Â °ÍÀ¸·Î ½Ã½ºÅÛ °ü¸®ÀÚ´Â µ¥ÀÌÅÍ
¼öÁ¤, »èÁ¦°¡ ¿ëÀÌÇϹǷΠ°ü¸®ÀÚ ÆäÀÌÁö¿¡ ´ëÇÑ Á¢±ÙÅëÁ¦È®ÀÎ.
°ü¸®ÀÚÀÇ ÀÎÁõÆäÀÌÁö´Â »ç¿ëÀÚÀÇ ÀÎÁõ°ú ¸¶Âù°¡Áö·Î
°¡¿ëÇÑ ´ëÀÔ°ªÀ» ÅëÇØ¼ »çÀÌÆ®ÀÇ Á¢±Ù°¡´É À¯¹«¸¦ È®ÀÎÇÕ´Ï´Ù. |
|
5 |
¹öÆÛ ¿À¹öÇ÷οì |
À¥¼¹ö³ª À¥¼ºñ½º ÇÁ·Î±×·¥ÀÇ ¿À·ù¿Í ¿À¹öÇÃ·Î¿ì °¡´É¼ºÀ»
Á¡°ËÇÑ´Ù. ½ºÄ³³Ê´Â ½Ã½ºÅÛ¿¡ ¿À¹öÇÃ·Î¿ì ½Ãµµ ÆÐÅÏÀ» Àû¿ëÇÏ¿©
°ø°Ý °¡´É À¯¹«¸¦ ÆÇ´ÜÇÑ´Ù. |
|
6 |
»ðÀÔ Ãë¾àÁ¡ |
½Ã½ºÅÛ¿¡ »ðÀÔµÈ Äڵ带 ½ÇÇàÇÏ¿©, Å©·¡Ä¿°¡ ¿øÇÏ´Â ±â´ÉÀ»
¼öÇàÇÏ´ÂÁö¸¦ Á¡°ËÇÕ´Ï´Ù. ¾÷·Îµå³ª ¿ÜºÎ¼¹ö·ÎºÎÅÍ ½ÇÇà°¡´ÉÇÑ
ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÏ¿© ¼¹ö¿¡¼ ½ÇÇà°¡´ÉÇÑÁö¸¦ Á¡°ËÇÕ´Ï´Ù. |
|
7 |
ºÎÀûÀýÇÑ ¿¡·¯Ã³¸® |
À¥ Ãë¾àÁ¡À¸·Î ÀÎÇØ¼ Å©·¡Ä¿°¡ ´ëÀÔÇÑ °ªµéÀÌ ¿¡·¯Ã³¸® À¯¹«
¾øÀÌ ¼öÇàÀ» ÇÏ´ÂÁö¸¦ Á¡°ËÇÕ´Ï´Ù. |
|
8 |
Ãë¾àÇÑ Á¤º¸ÀúÀ广½Ä |
½Ã½ºÅÛ ³»ºÎÀÇ Áß¿äÇÑ Á¤º¸°¡ ¿ÜºÎ·Î ³ëÃâ °¡´ÉÇÑ »óÅÂÀÎÁö¸¦
Á¡°ËÇÕ´Ï´Ù. |
|
9 |
ºÎÀûÀýÇÑ À¥¼¹ö ȯ°æ |
À¥¼¹öÀÇ config°¡ ¿ÜºÎÀÇ °ø°Ý¿¡ ³ëÃâµÇ¾îÀÖ´ÂÁö¸¦ Á¡°ËÇÕ´Ï´Ù. |
|
10 |
±âŸ |
AJAX¿Í Web 2.0 ±â¼ú¿¡ ´ëÇÑ ½ºÄµ.
Ãë¾àÇÑ ÆÛ¹Ì¼Ç µð·ºÅ丮 ½ºÄµ.
°Ô½ÃÆÇ, ¼îÇÎīƮ¿Í °°Àº ¹ü¿ë ÇÁ·Î±×·¥ÀÇ ¹®Á¦ ½ºÄµ.
À§ÇèÇÑ HTTP method ½ºÄµ.
|
|
À¥ »çÀÌÆ® Ãë¾àÁ¡
ºÐ¼®Áغñ |
À¥»çÀÌÆ® Á¤º¸ ¼öÁý ¹× ½ºÄµ ȯ°æ ¼³Á¤. ½ºÄ³´× ȯ°æ¼³Á¤Àº ½ºÄ³´×ÀÇ Á¤¹Ðµµ¸¦
ÀÔ·Â
ÇÕ´Ï´Ù. |
|
À¥ »çÀÌÆ® Ãë¾àÁ¡
½ºÄ³´× |
»çÀÌÆ®ÀÇ Á¤º¸ ¼öÁý°ú ȯ°æ¼³Á¤ÀÌ ¿Ï·áµÇ¸é, »çÀÌÆ®¿¡ ´ëÇÑ ½ºÄ³´× ÀÛ¾÷ÀÌ ½ÃÀ۵˴ϴÙ.
½ºÄ³´×Àº ½ÃÀÛ. |
|
À¥ »çÀÌÆ® Ãë¾àÁ¡
·¹Æ÷ÆÃ |
¼öÁýµÈ Á¤º¸¸¦ Åä´ë·Î °í°´´Ô²² ·¹Æ÷ÆÃÀÌ µË´Ï´Ù. ·¹Æ÷ÆÃÀº ½ºÄµ ±âº»È¯°æÁ¤º¸¿Í
½ºÄ³´× ÈÄ º¸°íµÈ ¹®Á¦Á¡ ºÐ¼®À» ·¹Æ÷ÆÃÇϸç, ·¹Æ÷ÆÃµÈ ¹®Á¦Á¡¿¡ ´ëÇÑ ´ëÃ¥À» Á¦°ø
ÇÕ´Ï´Ù. |
|
À¥ »çÀÌÆ® Ãë¾àÁ¡
󸮿äû |
À¥»çÀÌÆ®ÀÇ Ãë¾àÁ¡ ·¹Æ÷ÆÃ ÈÄ °í°´´ÔÀÌ Ã³¸®Çϱ⠺Ұ¡´ÉÇÑ ºÎºÐÀ» ³Ø½ºÆ®¶óÀο¡ ¿äû ÇÏ½Ã¸é ³Ø½ºÆ®¶óÀο¡¼ Ãë¾àÁ¡¿¡ ´ëÇÑ Á¶Ä¡¸¦ ÇØµå¸³´Ï´Ù. (À¯»ó󸮵Ê)
À¥¹æÈº® (Windows : WebKnight, Linux : mod_security) ¼³Ä¡ ÈÄ ·Î±×ºÐ¼®, ·¹Æ÷ÆÃ
ÀڷḦ ±â¹ÝÀ¸·Î ·ê¼Â Àû¿ë ÈÄ ÀÏÁÖÀϰ£ ½Ã½ºÅÛ ¸ð´ÏÅ͸µ ½Ç½Ã ÇÕ´Ï´Ù.
¶ÇÇÑ, À¥ ¾îÇø®ÄÉÀ̼ÇÀÇ º¸¾È°È, ½Ã½ºÅÛÀÇ º¸¾È°È ó¸®. |
|
Step01 ¼ºñ½º ½Åû

³Ø½ºÆ® ¶óÀΠȨÆäÀÌÁö¿¡ ·Î±äÇÏ½Ã°í ¸ÞÀÎ ¸Þ´º Áß ºÎ°¡¼ºñ½º¸¦ ´©¸£½Ã°í ¿ÞÂÊ Áß°£ ¸Þ´º¿¡¼ [À¥ Ãë¾àÁ¡ Á¡°Ë] À»
Ŭ¸¯ÇϽŠÈÄ ¸ÇÀ§ÀÇ [½ÅûÇϱâ]¸¦ Ŭ¸¯ÇÏ½Ã¸é ½Åû ¸Þ´º·Î °¡°Ô µË´Ï´Ù. .
Step02 ¼¹öÁ¤º¸ ÀÔ·Â

°í°´´ÔÀÇ ¼¹ö¸®½ºÆ® Áß ÇØ´çµÇ´Â ¼¹ö¸¦ ¼±ÅÃÇϽðí, Á¡°ËÀ» ÇÏ½Ç µµ¸ÞÀÎÀÇ °³¼ö¸¦ ÀÔ·ÂÇÏ½Ã¸é µË´Ï´Ù. ¾Æ·¡ÀÇ µµ¸ÞÀÎ ÀԷ¶õ¿¡´Â °í°´´ÔÀÌ ¼±ÅÃÇϽеµ¸ÞÀÎÀÇ °³¼ö¿¡ ¸Â°Ô µµ¸ÞÀεéÀ» Â÷·Ê¸¦ ½á³ÖÀ¸½Ã¸é µË´Ï´Ù. ¼¹öÁ¤º¸ ÀԷ¶õ¿¡´Â
¼¹öÀÇ Å͹̳ΠÁ¢¼ÓÁ¤º¸¸¦ ¸ðµÎ´Ù ÀÔ·ÂÇØÁÖ½Ã¸é µË´Ï´Ù.
Step03 ´ã´çÀÚ Á¢¼ö

´ã´çÀÚ´Â ÇØ´ç»çÇ×À» Á¢¼öÇÑ ÈÄ °í°´´ÔÀÇ µµ¸ÞÀΰú ¼¹öÁ¤º¸¸¦ È®ÀÎÇÏ°í °ð¹Ù·Î [À¥ ½ºÄ³´×]À» ÇÏ°Ô µË´Ï´Ù.
½ºÄ³´×ÇÑ ÈÄ ÀÌ»óÀÌ ¾ø´Ù¸é À¯¼±Å뺸¸¦ ÇÏ°Ô µÇ°í, ÀÌ»óÀÌ ¹ß°ßµÇ¸é, ¼¹öÁ¤º¸·Î ¼¹ö¿¡ Á¢¼ÓÇÑ ÈÄ ¼¹öÀÇ ÀÌ»óÀ¯¹«
¼¹öÀÇ »óŸ¦ üũÇÑ ÈÄ¿¡ ÇØÅ· ÈçÀû°ú º¯Á¶, ¾Ç¼ºÄÚµå »ðÀÔµî ½Ã½ºÅÛ Ä§ÇØ»ç°í Á¤º¸¸¦ ¼öÁýÇÏ°Ô µË´Ï´Ù. ¼¹öÀÇ
Ä§ÇØ»óÅ¿¡ µû¶ó¼ °í°´´ÔÀÌ ÃëÇϼžßÇÒ Á¶Ä¡»çÇ×À» º¸°í¼·Î ÁغñÇÒ °ÍÀÔ´Ï´Ù.
Step04 ¼¹ö ½ºÄ³´× °á°ú ·¹Æ÷ÆÃ

À¥ ½ºÄ³´× °á°ú¿Í ¼¹öÀÇ Ä§ÇØ»ç°í »óŸ¦ È®ÀÎ ÈÄ ·¹Æ÷ÆÃ Áغñ¸¦ ÇÒ °ÍÀÔ´Ï´Ù. Ä§ÇØÀÇ ½É°¢µµ¿¡ µû¶ó¼ ·¹Æ÷ÆÃÇϱâ
Àü¿¡ À¯¼±Å뺸¸¦ ÇÏ°Ô µË´Ï´Ù. ·¹Æ÷ÆÃÀº Á¡°Ë ÈÄ 1ÀÏÈÄ¿¡ Áغñ°¡ µÇ¸ç, ¹ß¼ÛÀº ¸ÞÀÏÀ» ÅëÇØ¼ Adobe PDF ¾ç½ÄÀ¸·Î
¹ß¼ÛÇÏ°Ô µË´Ï´Ù.
Step05 Ä§ÇØ»ç°í ó¸®

Ä§ÇØ»ç°í 󸮿¡ ´ëÇÑ ÀýÂ÷°¡ ·¹Æ÷ÆÃ ¸¶Áö¸· Ç׸ñ¿¡ Ãß°¡µÇ¸ç, °í°´´Ô²²¼ ó¸®ÇϽñ⠾î·Á¿ì½Å ºÎºÐÀº Ä§ÇØ»ç°í
[ÀÛ¾÷ ÀÇ·Ú¼]¸¦ ÀÛ¼ºÇϽøé ÇØ´ç 󸮸¦ ´ëÇàÇØ µå¸®°í ÀÖ½À´Ï´Ù.