웹 보안성에 따른 조치 필요 내용 요약
- adminarea, inc, include 등의 사용 금지
2. SQL Injection 취약점
- 특수문자 제거 function 생성하여 모든 request 또는 request.form 문에 적용
3. XSS 취약점
- 게시글 입력시 특수문자는 대응코드로 변환하여 실행되록 function 생성하여 조치
4. 인증우회
- 초기 자바스크립트를 뚫고 전달되는 값을 중간에 캐치하여 서버단에 다른 정보를 제공하는 방식으로서
처리 페이지 자체 내에서도 주민등록번호를 다시 한번 체크하는 모듈을 이식하면 해결 가능 합니다.
- 게시물 보기 페이지 또는 수정 페이지에서 해당 게시물에 대한 보안적 요소를 모두 배제하고
서버단 처리 부분에서만 해당 내용을 확인 하도록 수정하겠습니다.
5. 관리자 및 사용자 패스워드 정책 수립
- MD5 를 통한 패스워드 정책 수립
- 이에 따른 비밀번호 찾기 정책도 변화가 필요하다고 생각 됩니다.
6. 보안내용 또는 사용자 각 개인에 대한 쿠키 사용은 금지
- 쿠키 변조를 통한 웹 접근 방지
7. 계정, 패스워드를 일정 규칙에 따라 복잡하여 설정
( 일부 보안 시설의 경우 분기별 비밀번호 대장에 따라 변경 하기도 합니다. )
8. 히든 필드 사용 금지.
- 모든 정보는 서버에 저장해 두고 최소한의 정보만 웹에 노출
9. 화일 업로드 확인
- 클라이언트 단에서 1차 확인 서버 업로드 단에서 2차 확인으로
일부 확장자를 제외하고는 모든 화일형식을 blocking
10. 화일 다운로드 취약성 체크
- 다운로드시 특수문자 "../" 등을 체크 하여 replace 처리
11. 관리자 페이지 인증체크
- 도메인을 따로 구성하여 일부 인증 아이피만 접근 가능하도록 수정
( 소스 또는 IIS 셋팅에서 구성 )
12. IIS 구성 중 디렉토리 리스팅 금지 셋팅