Pdev37
2024. 8. 16. 15:44
2024. 8. 16. 15:44
계정관리 취약점
특징
- 회원 가입 시 안전한 패스워드 규칙이 적용되지 않고 취약한 패스워드로 설정 가능한 취약점
- 무차별 대입 공격에 노출됨
- 반드시 계정관리 규칙을 준수해야 함
- ISMS-P 기준 (2024.7 최신)
대응방안
- 취약한 패스워드를 사용할 수 없도록 생성 규칙을 강제할 수 있는 로직을 적용
ex ) 8글자 이상 숫자, 영문, 특수 문자 등을 강제로 포함시키도록 설정
- 패스워드를 일정 기간마다 변경하도록 설정
- 무차별 대입 공격 방지를 위해 일정 횟수 이상 로그인 실패 시 계정 잠금 등의 정책을 설정
실명 인증 취약점
특징
- 사용자 본인 확인 과정 상에서 취약한 프로그램을 악용해 사용자 정보를 변조할 수 있는 취약점
- 관리자로 위장하여 개인 정보를 수집하는 등 사회 공학 공격 등에 노출되거나 홈페이지 가입 시 제공하는 포인트 등을 악용하는 등의 공격이 발생할 수 있음
대응방안
- 중요한 정보가 있는 웹 페이지는 재인증을 적용하고 안전하다고 확인된 라이브러리 또는 프레임워크를 사용하여 웹 개발
- 서버 측에서 사용자로부터 입력받은 데이터의 유효성을 검증할 수 있는 로직을 구현
소스코드 내 중요정보 노출 취약점
특징
- 소스코드에 개발 중 편의를 위해 작성해둔 민감한 정보들을 제거하지 않고 서비스를 오픈한 경우 공격자에게 소스코드에 포함된 민감한 정보가 노출될 수 있는 취약점
- 소스코드 내 편의를 위해 작성해둔 IP, 계정 정보 등을 개발이 완료된 시점에도 삭제하지 않은 경우에 해당 취약점이 있다고 판단
대응방안
- 여러 목적으로 인해 소스코드 내 주석으로 처리해둔 여러 정보들을 개발이 완료된 시점에는 반드시 제거
공개용 웹 게시판 취약점
특징
- 오픈 소스 기반 게시판을 사용하여 인터넷에 공개된 각종 취약점 정보들로 인해 홈페이지가 변조될 수 있는 취약점
- 특히 보안 패치가 적용되지 않은 이전 버전을 사용하는 웹 페이지들은 취약점에 노출
- 그누보드 제로보드 조은보드 등이 존재
대응방안
- 근본적인 문제를 해결을 위해 웹 서버에서 공개용 웹 게시판 사용을 지양
- 공개용 웹 게시판을 사용해야 할 경우에는 취약점에 대응할 수 있도록 보안 패치를 통해 최신 버전의 제품을 설치
- 정기적으로 게시판 배포 사이트에 방문하여 보안 취약점 정보를 수시로 확인하여 대응