31주차 과제 - 웹 취약점 (2)
지난시간에 이어 주요 웹 취약점의 종류 에대하여 더 알아보도록 하겠습니다.
과제 발표에 사용한 PPT 파일을 첨부합니다. 만약 지금 제가 거치고 있는 AI 스쿨 교육과정이 더 궁금하시다면 다음 링크를 통해 자세한 정보를 확인해 주세요.
https://cafe.naver.com/itscholar
본문
이번 과제 발표에서 알아볼 웹 취약점은 취약한 파일 존재, 계정 관리, 실명 인증, 전송 시 주요 정보 노출 입니다. 해당 취약점 리스트는 행정안전부에서 배포하는 웹 취약점 표준 점검 항목을 참고하여 작성되었습니다.
취약한 파일 존재 취약점
서버 운영 중 내부 문서, 백업 파일, 로그 파일, 압축 파일 등이 존재할 경우에 발생하는 취약점입니다. 이 경우 해커는 서버 내부에 있는 파일의 이름을 알아내고 직접 요청하여 해킹에 필요한 서비스 정보를 획득할 수 있습니다.
이 취약점을 해결하기 위한 방안으로 다음을 제시할 수 있습니다.
- 정기적으로 파일 점검 후 불필요한 파일 제거하기
- 웹 서버에 해당 파일이 존재해야만 하는 경우, 웹 사용자가 접근할 수 없도록 조치하기
- 개발 환경과 운영 환경의 분리하기
계정 관리 취약점
회원 가입을 할 때 패스워드 규칙이 너무 간단하면 생길 수 있는 문제점입니다. 위의 이미지에서 드러나듯이 너무 간단한 비밀번호(123456과 같은)를 설정한다면 브루트 포스 공격에 1초 안에 파훼될 수 있습니다.
이런 취약점에 대응하기 위한 해결책으로 다음을 제시할 수 있습니다.
- 패스워드 규칙을 강화합니다.
- 계정 잠금 정책을 설정하여 브루트 포스 공격을 어렵게 하기
실명 인증 취약점
실명 인증 절차의 보안이 취약하기에 발생할 수 있는 취약점 입니다. 이 취약점은 실명 인증이 마무리 된 순간의 페이지를 조작하여 제 3자로 위장하는 등의 활용이 가능한 취약점입니다.
실명 인증 취약점은 다음과 같은 방안으로 대비할 수 있습니다.
- 실명 인증 과정에 암호화 적용하기
전송 시 주요 정보 노출 취약점
비밀번호 등 민감한 데이터를 평문으로 통신하는 경우를 일컫는 취약점 입니다. 이 취약점이 존재할 경우 공격자가 통신을 엿듣는 것 만으로 쉽게 데이터를 탈취하여 활용할 수 있습니다.
이 취약점을 해결하기 위한 방안은 다음이 있습니다.
- 중요한 정보 전송시 SSL(TLS) 프로토콜 적용하기
- TLS 최신 버전으로 업데이트하기